Onlangs vond de tweede enorme ransomware-uitbraak in korte tijd plaats. Na WannaCry, sloeg ook het NotPetya-virus zijn slag. Met name in Oekraïne raakten veel organisaties besmet. Maar ook in Nederland vielen slachtoffers, denk aan Maersk en TNT Post. Hoe kon dit gebeuren? Wie zat er achter de aanval en waarom? En wat kunnen we doen om een volgende aanval te pareren? Want over één ding kunnen we het eens zijn; dit was zeker niet de laatste ransomware-aanval die we zullen meemaken.
Hoe heeft het virus zich verspreid?
Hoe heeft dit virus zich zo razendsnel kunnen verspreiden? Wat we er nu van weten, is dat het virus zich hoogstwaarschijnlijk verplaatste door malware via kwetsbaarheden in updates van softwareleverancier MeDoc uit Oekraïne. Zodra de malware geïnstalleerd was, kon het snel uitbreiden via op het netwerk aangesloten apparaten. De malware kon via de beheerdersrechten de Master Boot Record (MBR) van een geïnfecteerd apparaat overschrijven en versleutelen. Dit was echter niet de enige mogelijkheid. Het virus kon ook de zogeheten AES-sleutels afzonderlijk coderen. Om het getroffen apparaat te herstellen, moest het slachtoffer 300 dollar losgeld in Bitcoins betalen. Dit moest via een specifiek e-mailadres gebeuren, waarna een sleutel vrijgegeven werd die weer toegang tot het apparaat zou verlenen.
Wie zat achter de aanval en waarom?
Ik vermoed dat NotPetya nooit bedoeld was om veel geld te verdienen en ook niet om de getroffen apparaten weer te herstellen. De slachtoffernummers waarmee het losgeld betaald moest worden, bleken niet uniek te zijn. De beloofde sleutel om het geïnfecteerde apparaat van het virus te bevrijden, zou dus niet werken. Tevens bleek later dat de getroffen MRB onomkeerbaar onbruikbaar was gemaakt. Geld was dus niet de motivator voor de aanval. Maar wat dan wel?
Geld was dus niet de motivator voor de aanval. Maar wat dan wel?
Hoogstwaarschijnlijk was de aanval enkel bedoeld om schade aan te richten. Omdat het virus vooral gericht was op apparaten binnen één netwerk, was het goed mogelijk om een gerichte aanval te doen. Er zijn een aantal aanwijzingen over de doelgroep van de aanval. Kapersky Labs meldt een 60/30% splitsing van ongeïdentificeerde infecties tussen Oekraïne en Rusland. Daarnaast vond de aanval plaats tijdens een Oekraïense feestdag, waarbij de onafhankelijkheid van Rusland werd gevierd. Als de Russen verantwoordelijk zijn voor de aanval, hadden zij het voordeel van een trage verdediging door Oekraïne. Ook kan het een straf zijn voor de onafhankelijkheid. Deze factoren wijzen op een gerichte aanval op Oekraïne met politieke beweegredenen, maar de werkelijke reden van de aanval is tot op heden onbekend.
Wat nu?
Het is nu wel duidelijk dat iedereen getroffen kan worden door een dergelijke aanval, ook al is deze niet voor jou bedoeld. Ik sluit mijn verhaal daarom af met een checklist over hoe je te beveiligen tegen een ransomware-aanval:
- De basis: zowel WannaCry als NotPetya zijn verspreid door bekende kwetsbaarheden in de beveiliging van netwerken. Door het tijdig updaten van je software komt je al een heel eind.
- Verwacht slachtofferrol: je kunt de kans op een aanval nooit terugbrengen tot nul, dus bereid je voor. Zorg voor periodieke back-ups en een crisisplan om je data te herstellen.
- Supply chain: breng het digitale risico van je supply chain in kaart. Misschien lijken je leveranciers geen doelwit, hun beveiliging is lang niet altijd op orde. Beveilig de gehele keten, want samen sta je sterker.
- ‘Defense in depth’: wij hanteren vier pijlers voor een ‘diepe defensie’.
- Host-based firewalls configureren en IP-whisteling inzetten.
- Segmenteren van netwerken en communicatie tussen werkstations beperken.
- Tijdig updaten en onnodige legacy-fucnties uitschakelen.
- Toegang tot belangrijke gegevens enkel verlenen aan diegenen die het nodig hebben.
Investeer in een sterke beveiliging
Van de recente ransomware-aanvallen kunnen we veel leren. De aanval mag dan misschien gericht zijn op een doelwit, iedereen kan slachtoffer worden. Investeer dus in een sterke beveiliging en wapen je zo goed mogelijk tegen wat komen gaat. Fingers crossed!
Alastair Paterson, CEO van Digital Shadows