Cyberbullying 2.0

Het ransomware-virus dat dinsdagmiddag opeens wereldwijd opdook, is geavanceerder dan de WannaCry-ransomware. Dat zeggen beveiligingsonderzoekers. WannaCry verspreidde zich vorige maand vanzelf via een beveiligingslek in de code van Microsoft Windows. Als dat lek niet openstond, had het virus geen manier meer om zichzelf te verspreiden.

Eerst werd gedacht aan een variant van Petya ransomware, maar inmiddels is duidelijk dat dit geheel nieuwe ransomware is. “We denken echt dat het om een volledig nieuw virus gaat. We hebben ernaar gekeken, en de verschillen zijn te groot.” Het beveiligingsbedrijf heeft het virus daarom ‘NotPetya’ genoemd.

Volgens ESET was Oekraïne het eerste doelwit. De aanvallers zouden hun virus hebben verstopt in boekhoudsoftware en van daaruit zou het virus zich verder hebben verspreid.

Dinsdagavond publiceerde het Oekraïense boekhoudingsbedrijf MeDoc een bericht op de website dat infecties via hun server hadden plaatsgevonden. Het betreffende bericht is inmiddels verwijderd en er bestaat nu alleen nog een Facebook-post van het bedrijf, waarin het ontkent iets met de verspreiding van de ransomware te maken te hebben.

Verschillende bedrijven, waaronder Microsoft, Kaspersky en ESET, zijn van mening dat aanvallers het updateproces van de MeDoc-software hebben weten te kapen en zo de malware konden verspreiden. Beveiligingsonderzoeker The grugq meldt dat de internettak van Oekraïense politie deze mening deelt. Onderzoeker Rickey Gevers vond een aanwijzing dat ook het getroffen bedrijf Maersk gebruikmaakt van de software.

Wereldwijd hebben bedrijven last van de aanval, waaronder ook grote Nederlandse ondernemingen. Het begon bij APM, een bedrijf dat in de Rotterdamse haven containerterminals heeft. Het moederbedrijf daarvan, Maersk, is wereldwijd getroffen. Naast APM zijn in Nederland ook medicijnfabrikant MSD en pakketbezorger TNT getroffen. Politie Nederland heeft uit voorzorg maatregelen getroffen tegen een mogelijke aanval.

Dinsdagavond kwam eveneens naar buiten dat er een manier is om een systeem tegen versleuteling te beschermen, beschreven door Bleeping Computer. De methode werkt door het aanmaken van een read-only-bestand met de naam perfc en zonder bestandsextensie in de lokale Windows-map. Volgens onderzoeker Dave Kennedy zorgt het blokkeren van het bestand ervoor dat de ransomware wordt tegengehouden. In dit geval zal de ontdekking voor velen te laat komen, aangezien de infecties dinsdag plaatsvonden. Er is dan ook geen sprake van een ‘killswitch’, zoals bij de aanval met WannaCry het geval was.

Ben ik ook kwetsbaar voor de nieuwe ransomware-aanval?

Helaas kan iedereen hier slachtoffer van worden. Lees in onze White paper wat je kunt doen om zo veel mogelijk besmetting en verlies van data te voorkomen.

——————————————————————————-

Update: inmiddels melden verschillende Amerikaanse ziekenhuizen dat hun systemen ook besmet zijn geraakt, net als medicijnfabrikant Merck en diervoeding fabrikant Royal Canin.

bron: NOS/Kaspersky/The grugq/Tweakers