Tweede globale zelfverspreidende ransomware-aanval
Een wereldwijde WannaCry-achtige ransomware-uitbraak, die in Rusland en Oekraïne begon, heeft zich deze week over de hele wereld verspreid. De aanval sluit netwerken in een aantal industrieën, waaronder energie, vracht, vervoer en financiën. De kwaadaardige code lijkt te zijn gerelateerd aan een eerder bekende ransomware-variant genaamd Petya. (Ontdekt in 2016, maar nu terug in geoptimaliseerde vorm). Deze variant van Petya is zoveel gemuteerd dat Cisco Talos het als een eigen malware-stam Nyetya classificeert. Rapporten geven aan dat de aanval dezelfde omvang en intensiteit heeft als WannaCry, en kan worden verspreid door dezelfde gelekte NSA EternalBlue-kwetsbaarheden die WannaCry vroeg in mei gebruikt heeft om machines in meer dan 150 landen te infecteren.
De eerste ransomware-aanvallen vergrendelden uw pc. Vervolgens gingen ze bestanden coderen. Niet lang daarna waren de aanvallen gericht op webservers, gedeelde schijven en back systemen. De ransomware van deze week lijkt meer gericht te zijn de Master Boot Record, de eerste code die loopt wanneer pc’s en servers starten. Schadelijke code vervangt Master Boot Record met een kwaadwillige loader. De code dwingt Windows opnieuw op te starten en geeft een nep (CHKDSK) controle op de schijf van het nietsvermoedende slachtoffer, terwijl de code op de achtergrond draait en de Master File Table (MFT) versleutelt. Wanneer MFT is beschadigd, of gecodeerd in dit geval, weet de computer niet waar de bestanden zich bevinden of dat ze bestaan, en dus zijn ze niet beschikbaar.
Cisco Talos werkt nu om de kwaadaardige code te controleren en de beveiligingsmechanismen te controleren. Cisco Security Solutions blokkeren alle bestanden en artefacten die geassocieerd zijn met deze aanval.
Bescherming van Cisco
De volgende NGIPS / Snort rules detecteren de aanval:
• 42944 – OS-WINDOWS Microsoft Windows SMB remote code execution attempt
• 42340 – OS-WINDOWS Microsoft Windows SMB anonymous session IPC share access attempt
De volgende NGIPS / Snort rules voorzien ook in indicatoren van geïnfecteerd verkeer:
• 5718 – OS-WINDOWS Microsoft Windows SMB-DS Trans unicode Max Param / Count OS-WINDOWS attempt
• 1917 – INDICATOR SCAN UPnP service discover attempt
• 42231 – FILE-OFFICE RTF url moniker COM file download attempt
• 5730 – OS-WINDOWS Microsoft Windows SMB-DS Trans Max Param OS-WINDOWS attempt
AMP bescherming
W32.Ransomware.Petya.Talos
Ik kan u ook de Talos Master Boot Record Filter aanbevelen die voorkomt dat de MBR encrypt wordt: http://blog.talosintelligence.com/2016/10/mbrfilter.html
• Zorg dat uw organisatie een actief ondersteund besturingssysteem draait dat voorzien is van de laatste beveiligingsupdates.
• Zorg voor actief patch-beheer. Implementeer tijdig beveiligingsupdates voor computersystemen en andere kritieke onderdelen van uw infrastructuur.
• Zet anti-malware-software op uw systemen en zorg ervoor dat u regelmatig updates van malware-signaturen ontvangt.
• Implementeer een herstelplan voorzien van back-ups die offline worden bewaard. Tegenstanders richten zich vaak op back-upmechanismen om de mogelijkheden van een gebruiker te beperken om hun bestanden te herstellen zonder het losgeld te betalen.
Volg verdere ontwikkelingen op Talos’ blog on Nyetya.
Deze blog is geschreven voor Michel Schaalje, Technisch Directeur bij Cisco Nederland
Reacties
Er zijn nog geen reacties geplaatst.