NonPetya_edited

NonPetya straft lakse systeem-beheerder

28 juni 2017 door Erik Loef

Nog geen twee maanden geleden was het wereldwijd nieuws, een nieuwe vorm van Ransomware, WannaCry was er dat gebruikt maakte van een recent lek in Windows om zich te verspreiden. Gelukkig zaten er diverse fouten in de software en werd de aanval heel vroeg gestopt doordat per ongeluk iemand een killswitch ontdekte. Je zou denken dat dit een duidelijke wake-up call is voor elke systeembeheerder die zijn security zaken nog niet helemaal op orde had. Want ook voor de WannaCry uitbraak gold als je geen verouderde operating systems in je netwerk had zitten (zoals XP) en netjes alle systemen tijdig voorzien had van een patch, had de WannaCry Ransomware geen kans op infectie.

NonPetya lijkt in veel opzichte op WannaCry, sterker nog het gebruikt onder andere exact hetzelfde lek als WannaCry gebruikt (EternalBlue). Je zou toch verwachten dat elke professionele systeembeheerder na WannaCry de moeite heeft genomen om deze patch uit te rollen ? Gebaseerd op het aantal uitbraken kunnen we concluderen dat voor veel systeembeheerders dit nog steeds een complexe aangelegenheid is.

NonPetya kan zich naast het windows lek op meer manieren zichzelf verspreiden. Ook hier geld dat dit alleen mogelijk door achterstallig onderhoud vanuit systeembeheer. Zo werkt deze methode alleen als de gebruiker beheerder is op het systeem (iets dat je vanuit beveiligingsoptiek eigenlijk nooit wil). Daarnaast gebruikt het de aanname dat bij een bedrijf vaak dezelfde batch computers staan, die op eenzelfde manier geconfigureerd zijn en ook eenzelfde lokaal beheeraccount & wachtwoord heeft op iedere computer. Omdat veel systeembeheerders dit een hoop gedoe en administratie vinden om per PC het wachtwoord te administreren. Daarnaast wordt het interne netwerk nog steeds als 'veilig' beschouwd en is het dan ook 'handig' voor de systeembeheerder om intern geen firewall aan te hebben staan.

Daarnaast is er nog een verschil tussen NonPetya en WannaCry, namelijk dat NonPetya niet alleen bestanden versleuteld, maar ook het gehele systeem onbruikbaar maakt door ook het filesystem te versleutelen, iets dat de ransomware Petya ook deed, vandaar de naam. Daarnaast heeft de malware een aantal stukken intelligentie in zich, zodra de malware zich op een DHCP server bevind zal het alle leases proberen te infecteren, op de domain controller probeert het alle accounts uit de Active Directory te exporteren en op een werkstation probeert het gebruikersnamen en wachtwoord uit het geheugen te lezen.

Ik verbaas me nog steeds dat deze ransomware zoveel PC's en bedrijven plat heeft kunnen leggen. Mijn enige conclusie is dat de beveiliging van veel bedrijven niet op orde is, of veel systeembeheerders nog erg laks zijn in het uitrollen van patches en het doorvoeren van beveiligingsverbeteringen. Mijn oproep voor die systeembeheerders kom in actie, want over een paar weken is er weer een nieuwe variant.

Een tweede zaak waar ik me ook nog over verbaas is de landelijke en wereldwijde aandacht dit o.a. WannaCry had en nu ook NonPetya, dus zou je denken dat losgeld stroomt binnen. Niks is minder waar als je de bitcoin wallet volgt staat de teller op nog geen € 7500 na de eerste dag. Dit staat in geen verhouding tot de schade die deze malware heeft veroorzaakt.

Delen via

Altijd en overal Ongestoord en ongemerkt veilig werken

Proxsys werkt met deze partners