2017, het jaar waarin malware professioneel werd – Deel 3: kan je je leveranciers nog vertrouwen?
Met de gevolgen van Wannacry nog vers in het geheugen, was het in juni de beurt aan een nieuw soort ransomware: Petya, of NotPetya, afhankelijk van wie u het vraagt. Wat die aanval speciaal maakte, was niet de software zelf, maar de manier waarop ze bij bedrijven wereldwijd terecht kwam: via de leverancier.
Eind juni maakte een nieuwe ransomware-aanval wereldwijd slachtoffers. Het epicentrum van de aanval leek in Oekraïne te liggen, maar ook in ons land zagen een medicijnenproducent en een koekjesproducent hun systemen geblokkeerd. “NotPetya is een anomalie in het ransomware universum,” vertelt Robert Lipovsky van beveiliger ESET. “Maar het scherm van NotPetya leek heel sterk op een eerdere malware, genaamd Petya; vandaar de wat rare naam.”
Geen goede job
Wat die NotPetya zo vreemd maakt, is hoe slecht het ding in elkaar zat. “Het wist heel wat bedrijven te raken en het leek ook op een ransomwarecampagne,” vertelt Lipovsky. “Eens geïnfecteerd, ging het bestanden en schijven encrypteren. Het is vergelijkbaar met eerdere combinatiepakketten van Petya en een andere malware, Mischa. Het verschil is dat er in die eerdere versie een zekere logica zat. Als één encryptiesoftware niet gelanceerd geraakte, dan kwam de tweede.” De ene malware versleutelde de schijf, maar als een gebruiker bijvoorbeeld geen adminrechten had en dus niet aan de bootsector kon, dan schoot de tweede in gang om de bestanden zelf aan te vallen.
“Maar bij NotPetya activeerden die allebei tegelijk, waardoor ze elkaar in de weg gingen zitten,” legt Lipovsky uit. “Het resultaat was dat zelfs als je betaalde, je toch je bestanden niet terugkreeg. Er was geen manier om je sleutel in te geven. We geloven dan ook dat de aanvallers de malware te snel in elkaar hebben gestoken. We kennen aanvallen van dezelfde groep hackers, en daar is meestal toch beter over nagedacht. Dit was geen goede job. Het kan dan ook een afleidingsmanoeuvre geweest zijn.”
Lipovsky houdt het daarbij vrij diplomatisch, andere security-onderzoekers zijn diplomatisch. Volgens Matt Suiche van cybersecuritybedrijf Comae was het nooit de bedoeling om bedrijvne hun bestanden terug te geven. “We zien dat de huidige versie van Petya duidelijk herschreven werd om een wiper te zijn, niet om als echte ransomware te functioneren”, zegt hij. Het virus vernietigt volgens hem bewust de harde schijf van de computers waarop het terecht komt.
NotPetya maakte van de ME Doc softwareupdates zelf een trojan
Patient Zero
NotPetya kent u vooral als de aanval die onder meer Maersk wist te treffen. De malware verspreidde zich als een worm door het lokale netwerk, door gebruik te maken van EternalBlue, net zoals Wannacry. Misschien nog interessanter is echter de ‘patient zero’ van deze infectie. Anton Cherepanov, onderzoeker bij ESET, bekeek de tijdlijn van enkele aanvallen, en die bleek overeen te komen met enkele updates van ME Doc software. Dat is het de facto boekhoudprogramma in Oekraïne. “We vonden drie verschillende updates die gebruikt werden om als achterpoortje in andere systemen te geraken. De aanvallers wisten de volledige infrastructuur van ME Doc te compromitteren. Ze maakten van de updates zelf een trojan,” aldus Cherepanov.
Een van de dingen die deze Trojan deed, was het bedrijfsnummer van de ‘klanten’ stelen, zodat er heel specifiek bepaalde bedrijven konden worden getarget. “Ze sloegen die info ook op in de update server van ME Doc, zodat ze onder de radar konden blijven. Want uitgaande connecties gingen niet naar een of andere vreemde offshore server, maar naar de update server van hun boekhouder.”
Het gaat, met andere woorden, over een klassieke ‘supply chain attack’, zo eentje waarbij leveranciers of diensten worden misbruikt om in andere bedrijven binnen te geraken. “Wie was er vooral getroffen?” zegt Mikko Hyppönen van F-secure, “Logistieke bedrijven, zoals Maersk. Want die doen zaken met elk land ter wereld, wat betekent dat ze daar belastingen moeten betalen. Ook in Oekraïne. En dat betekent dan weer dat er minstens een handvol stations ME Doc draaien in dat bedrijf.” Gecombineerd met een worm die vrolijk het interne netwerk doorkruist, geeft dat NotPetya de dubieuze eer om de eerste malware te zijn die voor, onder meer, een tekort aan chicken nuggets zorgde. “Die zaten vast in een container in de haven,” aldus Hyppönen.
Morgen: Is uw bedrijf klaar voor de cyberdreiging?
Fout opgemerkt of meer nieuws? Meld het hier