Is Petya-aanval slechts een test?

2016-09-14 Zeekhoe - Fortinet-25_410x615

Petya gebruikt een andere tactiek dan de meeste ransomware-varianten. Het gaat niet voor de afteltimer of het beetje bij beetje verwijderen van bestanden, waarbij de gebruiker alleen kans maakt om gegevens te verliezen. Zodra Petrya een kwetsbaar apparaat is binnengedrongen, maakt de worm de Master Boot Record (MBR) onklaar. Daarop krijgt de gebruiker de volgende melding te zien: “Your files are no longer accessible because they have been encrypted”, vergezeld van de eis om voor circa 300 dollar aan losgeld te betalen in de vorm van Bitcoins. De gebruiker wordt er daarbij fijntjes op gewezen dat het uitzetten van de computer zal resulteren in het volledige verlies van het systeem.

Omdat Petya de Master Boot Record wijzigt, loopt het slachtoffer de kans dat zijn complete systeem wordt gewist. Bovendien zorgt Petya ervoor dat het systeem om het uur opnieuw wordt opgestart. Daarmee wordt een extra denial-of-service-dimensie aan de aanval toegevoegd.

Petya maakt opvallend genoeg niet alleen gebruik van Microsoft Office-exploits, maar ook hetzelfde aanvalskanaal als Wannacry. De ransomworm maakt misbruik van exact dezelfde kwetsbaarheden in Microsoft-systemen die eerder dit jaar door de Shadow Brokers werden onthuld. Maar omdat er voor deze exploit gebruik werd gemaakt van aanvullende aanvalskanalen, zou het installeren van de laatste patches onvoldoende zijn geweest om deze aanval te pareren. Bedrijven kunnen er dus niet omheen om patching te combineren met effectieve beveiligingstools en -praktijken. Zo bleven klanten van Fortinet immuun voor alle gebruikte aanvalstechnieken, omdat die werden gedetecteerd en geblokkeerd door onze ATP-, IPS- NGFW-oplossingen. En ons AV-team stelde al binnen een paar uur na de detectie een nieuwe malware-signature beschikbaar ter versterking van de eerste verdedigingslinie.

Er zijn een aantal interessante aspecten aan deze aanval verbonden. Ten eerste: ondanks alle ruchtbaarheid die is gegeven aan de kwetsbaarheden in Microsoft en de daarvoor beschikbare patches zijn er blijkbaar nog altijd duizenden organisaties die verzuimd hebben om de laatste patches te installeren. Ondanks de wereldwijde Wannacry-aanval, en ondanks het feit dat een aantal van deze organisaties verantwoordelijk is voor het beheer van vitale infrastructuren. Ten tweede is de Petya-aanval mogelijk niet meer dan een test, en zullen er in de toekomst meer aanvallen volgen die misbruik maken van recent onthulde kwetsbaarheden.

Wannacry was in financieel opzicht niet bijster succesvol. De aanval bracht weinig geld in het laatje van de programmeurs. Dat was ten dele te wijten onderzoekers die erin slaagden om een verborgen kill switch (een soort van noodstopknop) te vinden die de aanval tot stilstand bracht. Hoewel de payload (kwaadaardige code) van Petya een veel geavanceerder karakter heeft, blijft de vraag of deze ransomware-variant vanuit financieel oogpunt succesvoller is dan zijn voorganger.

Inmiddels zijn er twee dingen duidelijk: 1) maar al te veel organisaties hebben hun beveiliging niet op orde. Als een exploit zich richt op een bekende kwetsbaarheid waarvoor al maanden of jaren een patch beschikbaar is, hebben de slachtoffers alle schade geheel aan zichzelf te danken. Deze aanval maakte gebruik van kwetsbaarheden waarvoor al geruime tijd patches beschikbaar waren. En 2): deze organisaties beschikken al evenmin over adequate tools voor het detecteren van dit soort exploits.

Ransomware is een blijvertje

Ransomware heeft het afgelopen jaar een razendsnelle opmars gemaakt en een spoor van vernieling aangericht. Er is bovendien sprake van een verbazingwekkend breed scala aan ransomware-varianten.

Bij de allereerste ransomware-golf was er sprake van een gerichte aanval. Er werd van tevoren een slachtoffer uitgekozen, waarop speciale aanvalstechnieken werden ontwikkeld om de organisatie of het netwerk in kwestie te treffen. Daarbij werden bestanden versleuteld, zodat het slachtoffer daar geen toegang meer toe kan krijgen. Vervolgens wordt er losgeld gevraagd in ruil voor een code waarmee de bestanden weer konden worden ontsleuteld.

Ondertussen is er sprake van een toename van het aantal ransomware-aanvallen met een denial-of-service-dimensie. Hierbij wordt een denial-of-service (DDoS)-aanval uitgevoerd om de systemen en ICT-diensten van organisaties te overbelasten, zodat klanten en eindgebruikers daar geen toegang meer toe kunnen krijgen. Vervolgens wordt er om losgeld gevraagd. Pas als er wordt betaald, houdt de aanval op.

De Mirai-aanval die in augustus en september van 2016 plaatsvond, was de grootste DDoS-aanval uit de geschiedenis. Hierbij werden honderdduizenden geïnfecteerde IoT-apparaten omgevormd tot een kwaadaardig botnet. Recentelijk maakte een nieuw, op Mirai gelijkend IoT-botnet genaamd Hajimie misbruik van digitale videoapparatuur om organisaties te bestoken met een grootschalige DDoS-aanval. Ook in dit geval werd losgeld gevraagd in ruil voor het stopzetten van de aanval. Hajime is een nieuwe generatie cross-platform IoT-exploit die het momenteel op vijf verschillende platforms heeft gemunt. Het platform maakt gebruik van een toolkit die bepaalde handelingen automatiseert, evenals lijsten met dynamische wachtwoorden die het mogelijk maken om de aanval in stand te houden en technieken die menselijk gedrag nabootsen, zodat de aanval lange tijd onopgemerkt blijft.

Deze ontwikkelingen nemen een interessante wending met de opkomst van ransomware-as-a-service (RaaS), dat minder technisch onderlegde criminelen in staat stelt om ransomware-technologie in te zetten om zichzelf te verrijken met losgeld. In ruil voor het gebruik van een RaaS-platform betalen zij de ontwikkelaars een percentage van de winst. Recentelijk observeerden we de allereerste RaaS-ransomware die het op het MacOS had voorzien. Dit besturingssysteem vormde tot voor kort slechts zelden een doelwit van cybercriminelen. Maar aangezien het profiel van een Mac-gebruiker zowel technici (ontwerpers etc.) als topmensen omvat, zou de toename van het aantal aanvallen op Mac’s allerminst als een verrassing moeten komen.

Wat we nu zien, is dat er twee nieuwe exploits aan het ransomware-pallet worden toegevoegd. Met Wannacry maakten ontwikkelaars van ransomware voor het eerst gebruik van een worm om het verspreidingsproces te versnellen en de reikwijdte van hun aanval te vergroten. En met Petya wordt nu ook de Master Boot Record gemanipuleerd. En als een organisatie geen losgeld betaalt, loopt die niet alleen het gevaar dat er bestanden verloren gaan, maar dat het hele systeem wordt gewist. En dat is vast kostbaarder dan het aanschaffen en installeren van krachtig presterende firewalls.

Vincent Zeebregts, Country Manager Nederland bij Fortinet