Deze aanval is verontrustend omdat het de tweede grote ransomware-aanval is in twee maanden, die bedrijven over de hele wereld heeft getroffen. Misschien herinnert u zich dat in mei de National Health Service, NHS, in Groot-Brittannië, was besmet met de malware WannaCry. Dit programma beïnvloed de NHS en tal van andere organisaties over de hele wereld. WannaCry werd voor het eerst aan het publiek onthuld toen gelekte documenten met betrekking tot de NHS online werden vrijgegeven door hackers die in april bekend waren als Shadow Brokers.
De WannaCry-software, ook wel WannaCrypt genoemd, trof een overschot van 230.000 computers, die zich in meer dan 150 landen over de hele wereld bevonden. Naast de NHS werden ook Telefonica, een Spaans telefoonbedrijf en staatsspoorwegen in Duitsland aangevallen.
Vergelijkbaar met WannaCry verspreidt "Petya" zich snel over netwerken die gebruikmaken van Microsoft Windows. De vraag is echter: wat is het? We willen ook weten waarom het gebeurt en hoe het kan worden gestopt.
Wat is Ransomware?
Het eerste dat je moet begrijpen, is de definitie van ransomware . Kort gezegd is ransomware elk type malware dat werkt om uw toegang tot een computer of gegevens te blokkeren. Wanneer u vervolgens toegang probeert te krijgen tot die computer of de gegevens erop, kunt u er niet aan komen tenzij u losgeld betaalt. Behoorlijk smerig en ronduit gemeen!
Hoe werkt Ransomware?
Het is ook belangrijk om te begrijpen hoe ransomware werkt. Wanneer een computer is geïnfecteerd door ransomware, wordt deze gecodeerd. Dit betekent dat documenten op uw computer dan worden vergrendeld en u ze niet kunt openen zonder een losgeld te betalen. Om het nog ingewikkelder te maken, moet het losgeld worden betaald in Bitcoin, niet contant, voor een digitale sleutel die u kunt gebruiken om de bestanden te ontgrendelen. Als je geen back-up van je bestanden hebt, heb je twee keuzes: je kunt het losgeld betalen, wat meestal een paar honderd dollar tot enkele duizenden dollars is, of je verliest de toegang tot al je bestanden.
Hoe werkt de "Petya" Ransomware?
De "Petya" ransomware werkt zoals de meeste ransomware. Het neemt een computer over en vraagt vervolgens om $ 300 in Bitcoin. Dit is schadelijke software die zich snel over een netwerk of organisatie verspreidt zodra een enkele computer is geïnfecteerd. Deze specifieke software maakt gebruik van de EternalBlue-kwetsbaarheid, die deel uitmaakt van Microsoft Windows. Hoewel Microsoft nu een patch voor de kwetsbaarheid heeft uitgebracht, heeft niet iedereen het geïnstalleerd. De ransomware wordt ook mogelijk verspreid via Windows-beheerprogramma's, die toegankelijk is als er geen wachtwoord op de computer staat. Als de malware niet op één manier kan worden bereikt, probeert deze automatisch een andere, en zo heeft deze zich zo snel verspreid onder deze organisaties.
Dus, "Petya" verspreidt zich veel gemakkelijker dan WannaCry, volgens cybersecurity-experts.
Is er een manier om jezelf te beschermen tegen "Petya?"
Je zult je op dit moment waarschijnlijk afvragen of er een manier is om jezelf tegen 'Petya' te beschermen. De meeste grote antivirusbedrijven hebben beweerd dat ze hun software hebben bijgewerkt om niet alleen malware te detecteren, maar ook te beschermen tegen de 'Petya'-infectie. Symantec-software biedt bijvoorbeeld bescherming tegen "Petya" en Kaspersky heeft al zijn software bijgewerkt om klanten te helpen zichzelf tegen de malware te beschermen. Bovendien kunt u uzelf beschermen door Windows up-to-date te houden. Als je niets anders doet, installeer dan op zijn minst de kritieke patch die Windows in maart uitbracht, en die verdedigt tegen deze kwetsbaarheid van EternalBlue. Dit stopt een van de belangrijkste manieren om geïnfecteerd te raken, en het beschermt ook tegen toekomstige aanvallen.
Een andere verdedigingslinie voor de malware-uitbraak "Petya" is ook beschikbaar en is pas onlangs ontdekt. De malware controleert het station C: \ op een alleen-lezen bestand met de naam perfc.dat. Als de malware dit bestand vindt, wordt de codering niet uitgevoerd. Maar zelfs als u dit bestand heeft, voorkomt het niet echt de malware-infectie. Het kan de malware nog steeds verspreiden naar andere computers in een netwerk, zelfs als de gebruiker het niet op hun computer opmerkt.
Waarom wordt deze malware 'Petya' genoemd?
U vraagt zich misschien ook af waarom deze malware 'Petya' wordt genoemd. Eigenlijk wordt deze niet 'Petya' genoemd. In plaats daarvan lijkt het veel code te delen met een oud stuk ransomware dat 'Petya' werd genoemd. Binnen de uren na de eerste uitbraak merkten veiligheidsdeskundigen echter op dat deze twee losgeld niet zo vergelijkbaar waren als eerst werd gedacht. Dus onderzoekers van Kaspersky Lab begonnen met het verwijzen naar de malware als "NotPetya," (dat is origineel!), Evenals andere namen waaronder "Petna" en "Pneytna." Daarnaast noemden andere onderzoekers het programma andere namen waaronder "Goldeneye," welke Bitdefender, uit Roemenië, begon het te noemen. "Petya" was echter al vastgelopen.
Waar begon "Petya"?
Vraagt u zich af waar "Petya" is begonnen? Het lijkt te zijn begonnen via een updatemechanisme van software die is ingebouwd in een bepaald boekhoudprogramma. Deze bedrijven werkten samen met de Oekraïense regering en hadden van de overheid nodig om dit specifieke programma te gebruiken. Dit is de reden waarom zoveel bedrijven in Oekraïne hierdoor zijn getroffen. De organisaties omvatten banken, de overheid, het metrosysteem van Kiev, de grote luchthaven van Kiev, en de openbare nutsbedrijven.
Het systeem dat de niveaus van straling in Tsjernobyl bewaakt, werd ook beïnvloed door de ransomware en werd uiteindelijk offline gehaald. Dit dwong werknemers om handmatige handapparaten te gebruiken om de straling in de uitsluitingszone te meten. Bovendien was er een tweede golf van malware-infecties die werd voortgebracht door een campagne met e-mailbijlagen die vol waren met malware.
Hoe ver is de verspreiding van de "Petya" -infectie?
De "Petya" ransomware heeft zich wijd en zijd verspreid en heeft de activiteiten van bedrijven in zowel de VS als Europa verstoord. Bijvoorbeeld WPP, een reclamebureau in de VS, Saint-Gobain, een bouwmaterialenbedrijf in Frankrijk, en zowel Rosneft en Evraz, olie- en staalbedrijven in Rusland, werden ook getroffen. Een bedrijf uit Pittsburgh, Heritage Valley Health Systems, is ook getroffen door de malware "Petya". Dit bedrijf runt ziekenhuizen en zorginstellingen in Pittsburgh.
In tegenstelling tot WannaCry probeert de 'Petya'-malware echter snel te verspreiden via netwerken waartoe hij toegang heeft, maar hij probeert zich niet buiten het netwerk te verspreiden. Alleen al dit feit heeft potentiële slachtoffers van deze malware daadwerkelijk kunnen helpen, omdat het de verspreiding ervan heeft beperkt. Er lijkt dus een daling te zijn in het aantal nieuwe infecties dat is gezien.
Wat is de motivatie voor cybercriminelen die "Petya?"
Toen "Petya" in eerste instantie werd ontdekt, leek het erop dat het uitbreken van de malware eenvoudigweg een poging van een cybercrimineel was om te profiteren van gelekte online cyberwapens. Toen veiligheidsprofessionals de 'Petya'-malware-uitbraak echter wat nader bekeken, zeggen ze dat sommige mechanismen, zoals de manier waarop betaling wordt geïnd, vrij amateuristisch zijn, zodat ze niet geloven dat serieuze cybercriminelen erachter zitten.
Ten eerste bevat de losgeldbrief die bij de 'Petya'-malware wordt geleverd exact hetzelfde betalingsadres voor elk malwareslachtoffer. Dit is raar omdat de professionals een aangepast adres maken voor elk van hun slachtoffers. Ten tweede vraagt het programma zijn slachtoffers om rechtstreeks met de aanvallers te communiceren via een specifiek e-mailadres, dat onmiddellijk werd opgeschort toen werd ontdekt dat het e-mailadres werd gebruikt voor "Petya" -slachtoffers. Dit betekent dat zelfs als een persoon het losgeld van $ 300 betaalt, ze niet kunnen communiceren met de aanvallers en bovendien geen toegang hebben tot de decoderingssleutel om de computer of de bestanden te ontgrendelen.
Wie zijn de aanvallers?
Cyberbeveiligingsexperts geloven niet dat een professionele cybercrimineel achter de "Petya" -malware zit, dus wie is dat? Niemand weet het op dit moment, maar het is waarschijnlijk dat de persoon of personen die het hebben vrijgegeven, wilden dat de malware eruitzag als eenvoudige ransomware, maar in plaats daarvan is het veel destructiever dan typische ransomware. Een veiligheidsonderzoeker, Nicolas Weaver, is van mening dat "Petya" een kwaadwillende, destructieve en opzettelijke aanval is. Een andere onderzoeker, die bij Grugq langsgaat, is van mening dat de originele 'Petya' deel uitmaakte van een criminele organisatie om geld te verdienen, maar deze 'Petya' doet niet hetzelfde. Beiden zijn het erover eens dat de malware is ontworpen om zich snel te verspreiden en veel schade aan te richten.
Zoals we al zeiden, werd Oekraïne behoorlijk geraakt door 'Petya', en het land heeft zijn vingers op Rusland gericht. Dit is niet verrassend, aangezien Oekraïne Rusland ook de schuld heeft gegeven van een aantal eerdere cyberaanvallen. Een van deze cyberaanvallen vond plaats in 2015 en was gericht op het Oekraïense elektriciteitsnet. Uiteindelijk is het uiteindelijk delen van West-Oekraïne tijdelijk verlaten zonder enige macht. Rusland heeft echter elke betrokkenheid bij cyberaanvallen op Oekraïne ontkend.
Wat moet u doen als u gelooft dat u een slachtoffer van Ransomware bent?
Denk je dat je het slachtoffer bent van een ransomware-aanval? Deze specifieke aanval infecteert een computer en wacht ongeveer een uur voordat de computer spontaan opnieuw opgestart wordt. Als dit gebeurt, probeer dan onmiddellijk de computer uit te zetten. Dit kan voorkomen dat de bestanden op de computer worden gecodeerd. Op dat moment kunt u proberen de bestanden van de machine af te halen.
Als de computer klaar is met opnieuw opstarten en er geen losgeld verschijnt, betaal het dan niet. Vergeet niet dat het e-mailadres dat wordt gebruikt om informatie van de slachtoffers te verzamelen en de sleutel te verzenden, is afgesloten. In plaats daarvan koppelt u de pc los van het internet en het netwerk, formatteert u de harde schijf opnieuw en gebruikt u een back-up om de bestanden opnieuw te installeren. Zorg ervoor dat u altijd een back-up van uw bestanden maakt en houd uw antivirussoftware altijd up-to-date.