TWEEDE GLOBALE ZELFVERSPREIDENDE RANSOMWARE AANVAL

Een wereldwijd WannaCry-achtige ransomware-uitbraak, die in Rusland en Oekraïne begon, heeft zich de afgelopen weken over de hele wereld verspreid. De aanval sluit netwerken in een aantal industrieën, waaronder energie, vracht, vervoer en financiën. De kwaadaardige code lijkt te zijn gerelateerd aan een eerder bekende ransomware variant genaamd Petya. (Ontdekt in 2016, maar nu terug in geoptimaliseerde vorm). Deze variant van Petya is zoveel gemuteerd dat Cisco Talos het als een eigen malware stam Nyetya classificeert. Rapporten geven aan dat de aanval dezelfde omvang en intensiteit heeft als WannaCry, en kan worden verspreiden door dezelfde gelekte NSA EternalBlue-kwetsbaarheden die WannaCry vroeg in mei gebruikt heeft om machines in meer dan 150 landen te infecteren.

De eerste ransomware aanvallen vergrendelden uw pc.

Vervolgens gingen ze bestanden coderen. Niet lang daarna waren de aanvallen gericht op webservers, gedeelde schijven en back systemen. De Ransomware van deze week lijkt meer gericht te zijn de Master Boot Record, de eerste code die loopt wanneer pc’s en servers starten. Schadelijke code vervangt Master Boot Record met een kwaadwillige loader. De code dwingt Windows opnieuw op en geeft een nep (CHKDSK) controle op de schijf van het nietsvermoedende slachtoffer, terwijl de code op de achtergrond draait en de Master File Table (MFT) versleutelt. Wanneer MFT is beschadigd, of gecodeerd in dit geval, weet de computer niet waar de bestanden zich bevinden of dat ze bestaan, en dus zijn ze niet beschikbaar.

Cisco Talos werkt nu om de kwaadaardige code te controleren en de beveiligingsmechanismen te controleren. Cisco Security Solutions blokkeren alle bestanden en artefacten die tot deze aanval te associëren zijn.

Bescherming van Cisco

Onderstaande NGIPS / Snort rules detecteren de aanval:

  • 42944 – OS-WINDOWS Microsoft Windows SMB remote code execution attempt
  • 42340 – OS-WINDOWS Microsoft Windows SMB anonymous session IPC share access attempt

Onderstaande  NGIPS / Snort rules voorzien ook in indicatoren van geïnfecteerd verkeer:

  • 5718 – OS-WINDOWS Microsoft Windows SMB-DS Trans unicode Max Param / Count OS-WINDOWS attempt
  • 1917 – INDICATOR SCAN UPnP service discover attempt
  • 42231 – FILE-OFFICE RTF url moniker COM file download attempt
  • 5730 – OS-WINDOWS Microsoft Windows SMB-DS Trans Max Param OS-WINDOWS attempt

AMP bescherming

W32.Ransomware.Petya.Talos

Verder kunnen we ook de Talos Master Boot Record Filter aanbevelen die voorkomt dat de MBR encrypt wordt: http://blog.talosintelligence.com/2016/10/mbrfilter.html

  • Zorg dat uw organisatie een actief ondersteund besturingssysteem draait dat voorzien is van de laatste beveiligingsupdates.
  • Zorg voor actief patchbeheer. Implementeert tijdig beveiligingsupdates voor computersystemen en andere kritieke onderdelen van uw infrastructuur.
  • Zet anti-malware-software op uw systemen en zorg ervoor dat u regelmatig updates van malware-signaturen ontvangt.
  • Implementeer een herstelplan voorzien van back-ups die offline worden bewaard. Tegenstanders richten vaak op back-upmechanismen om de mogelijkheden van een gebruiker te beperken om hun bestanden te herstellen zonder het losgeld te betalen.

Volg verdere ontwikkelingen op  Talo’s blog on Nyetya.

Laat een reactie achter