NCSC: ‘Geen zicht op decryptiemogelijkheden voor ExPetr/Petya/PetrWrap ransomware’

  1. 30 jun 2017
  2. 0 reacties

encryptie

Vooralsnog is er geen zicht op decryptiemogelijkheden voor de ExPetr/Petya/PetrWrap ransomware die de afgelopen dagen voor problemen heeft gezorgd. Wel is de aanval over zijn hoogtepunt heen en worden er geen nieuwe besmettingen bij bedrijven meer gemeld. Ook zijn er geen nieuwe besmettingsbronnen bekend, naast het eerder gemelde softwarepakket M.E.Doc en een Oekraïense nieuwswebsite.

Dit meldt het Nationaal Cyber Security Centrum (NCSC). Het ontbreken van decryptiemogelijkheden betekent dat bedrijven die besmet zijn met de ransomware, een nieuwe installatie moeten doen en back-ups zullen terugplaatsen. Het NCSC adviseert hierbij te letten op het opstartgedeelte van de schijf. De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) verwacht dat dit soort cyberaanvallen vaker zullen voorkomen en daarnaast steeds geavanceerder worden.

Handelingsperspectief

Het ‘handelingsperspectief’ dat het NCSC eerder heeft geschreven blijft van toepassing. Deze bestaat uit de volgende punten:

  • Betaal geen losgeld. Het NCSC raadt dit standaard af en wijst erop dat betaling in dit specifieke geval zinloos is aangezien het hiervoor gebruikte e-mailadres niet meer beschikbaar is.
  • Gebruik geen SMBv1 op uw systemen, schakel dit protocol uit en migreer naar een recente versie van het protocol.
  • Installeer updates. In dit geval wordt een kwetsbaarheid misbruikt om de ransomware intern op bedrijfsnetwerken te verspreiden. Deze kwetsbaarheid wordt gedicht in update MS17-010.
  • Biedt de SMB-services niet open aan op internet. Indien deze functionaliteit via internet noodzakelijk is, scherm dan de bereikbaarheid hiervan af met behulp van een firewall of VPN.
  • Implementeer mitigerende maatregelen voor systemen die niet gepatcht, geüpdatet en/of niet gemigreerd kunnen worden.
  • Beperk de rechten van gebruikers op systemen. Een reguliere gebruikers behoort geen lokale admin-rechten te hebben.
  • Microsoft biedt de mogelijkheid lokale admin accounts op systemen verschillend in te stellen. Het NCSC adviseert organisaties te overwegen dit advies op te volgen. Meer informatie is hier beschikbaar.

Daarnaast adviseert het centrum netwerksegmentatie toe te passen om de impact van dergelijke besmettingen te beperken.

Meer over
Lees ook
Hackers verstoppen malware in metadata van PNG-bestand

Hackers verstoppen malware in metadata van PNG-bestand

Hackers zijn erin geslaagd malware te verstoppen in PNG-afbeeldingen. De malware nestelt zich in de metadata van de afbeeldingen en worden hierdoor op dit moment nog niet door virusscanners gedetecteerd. De nieuwe distributiemethode voor malware is ontdekt door de analist Peter Gramantik van het beveiligingsbedrijf Securi. Gramantik beschrijft de1

Europol: 'Ransomware is een miljoenenbusiness'

Europol: 'Ransomware is een miljoenenbusiness'

Het in gijzeling nemen van data van zowel bedrijven als consumenten en eisen van losgeld is een miljoenenbusiness. Tienduizenden slachtoffers van ransomware hebben inmiddels losgeld betaald. Dit stelt Europol, dat in samenwerking met het Nederlandse Nationale High Tech Crime Unit (NHTCU) ransomware heeft onderzocht. De opsporingsinstanties stellen1

Supermalware The Mask vormt meest geavanceerde cyberbedreiging

Supermalware The Mask vormt meest geavanceerde cyberbedreiging

Stuxnet was tot nu toe de meest geavanceerde malware. Het lijkt er echter op dat Stuxnet door een nieuw ontdekte vorm van malware van de troon is gestoten. De 'supermalware' The Mask wordt omschreven als 'de meest geavanceerde cyberbedreiging van dit moment'. De malware Stuxnet is wereldberoemd. De malware viel gericht Iraanse nucleaire installati1