Petya: Ny ransomware har ramt organisationer over hele verden

En ny bølge af ransomware har ramt en lang række organisationer verden over. Også flere danske virksomheder er blevet ofre for angrebet. Her er hvad vi ved om angrebet netop nu.

Petya: Ny ransomware har ramt organisationer over hele verden

Medierne flyder i disse dage over med informationer om den nye bølge af ransomware-angreb, der har ramt en række organisationer verden over. Også flere danske virksomheder er blevet ramt. Blandt andre Mærsk blev ramt af angrebet i de første stadier af angrebsforløbet, og efterfølgende har vi fået informationer om flere danske organisationer, hvor it-systemerne er blevet lagt ned.

Internationalt har angrebet bl.a. ramt medicinal virksomheden Merck, den store medie virksomhed WPP, advokatselskabet DLA Piper samt det russiske statsejede olieselskab Rosneft. Særligt Ukraine er hårdt ramt hvor bl.a. nationalbanken, en række energiselskaber og lufthavnen i Kiev.

Holdningerne til angrebet er mange, og flere eksperter og it-sikkerhedsleverandører melder sig på banen med gode råd til hvordan man opretter skaderne, hvis man er blevet ramt, og gode tricks til at undgå at blive kompromitteret.

Det er vigtigt at understrege, at der i øjeblikket er mange forlydender og rygter omkring denne nye bølge af ransomware, og situationen undersøges fortsat. Der mangler dog stadig den fulde information til at kunne sikre, at alle udtalelser og vurderinger er korrekte.

Hvis du er blevet ramt af malwaren og har brug for hjælp til at genoprette skaderne er du velkommen til at kontakte Dubex på telefon 32 83 04 30.

Det ved vi om angrebet

På nuværende tidspunkt har vi ikke det fulde overblik over angrebet. Der er dog en række informationer, som virker til at være holdbare fakta, når vi holder det op mod de malware samples, som vi har observeret i Dubex. Artiklen opdateres når vi har mere konkret viden om angrebet.

Meget tyder meget på, at den initiale infektion med malwaren er sket via en kompromittering af en metode til automatisk opdatering af et stykke Ukrainsk regnskabssoftware kaldet M.E. Doc (MeDoc), der anvendes til indberetning af skat/kommunikation med myndighederne i Ukraine. Denne software er obligatorisk at anvende for alle virksomheder, der skal indberette skat i Ukraine og således en målrettet måde at ramme virksomheder med ukrainske forbindelser. Dette er formentlig årsagen til at det primært er Ukraine som er blevet ramt (vurderingen er at ca. 60 % af alle angreb har ramt virksomheder i Ukraine), samt internationale virksomheder med forretning eller datterselskaber i Ukraine.

Når malwaren downloades og begynder afviklingen sker følgende 5 aktioner:

  1. Malwaren søges spredt til andre computere og systemer på det lokale netværk
  2. Den inficererer boot sektoren på maskinen
  3. Rebooter computeren
  4. Krypterer boot sektor (MBR) samt Master File Tabel (MFT) på disken ved opstart
  5. Ransomware-besked vises på computerens skærm

En mere detaljeret beskrivelse af hvordan malwaren spredes og udvikler sig kan findes længere nede i artiklen.

Spekulationerne om angrebet er mange

Der er i øjeblikket en række spekulationer om baggrund og formål med angrebet, da en række indikationer tyder på, at det faktiske formål med angrebet ikke er økonomisk motiveret. Disse spekulationer skyldes bl.a. at metoden til frigivningen af filer efter betaling af løsesum er baseret på en nu lukket e-mail adresse. Såfremt dem der står bag malwaren rent faktisk ønskede betaling, ville de formentlig have valgt en anden og mere pålidelig metode via TOR netværket, som man ser stort set al anden ransomware benytte. Taget i betragtning hvor kompetent angrebet i øvrigt er opbygget, virker det meget usandsynligt at en kriminel bagmand ikke skulle have styr på denne del.

Derfor kan der være visse indikationer på, at der i højere grad er tale om et politisk motiveret angrebet rettet mod Ukraine, som muligvis har ramt bredere end forventet.

Er Petya en Petya?

Den nye malware er hurtigt blevet døbt Petya, fordi den ligner den først version af Petya ransomwaren der oprindeligt blev spredt i starten af 2016. Nogle mener at malwaren er en videreudvikling af den tidligere Petya, mens andre mener at der er tale om en helt ny variant, muligvis en kopi der skal ligne den oprindelige Petya. Derfor går malwaren nu under en række forskellige navne i medierne; Petya, NotPetya, Petrwrap, GoldenEye, Nyetya og mange andre.

Angrebet sammenlignes af flere medier med det seneste WannaCry angreb, der udnyttede en sårbarhed i Microsoft, og også formåede at lægge virksomheders it-systemer ned verden over. De to angreb har det til fælles at de er meget mere aggressive end de gængse ransomwareangreb, som vi hyppigst oplever, da de udover infektion af enkelte computere automatisk spredes fra computer til computer på netværket. Metoden til spredning, kaldet EternalBlue, stammer fra de NSA-værktøjer der blev lækket tidligere på året, og Petya-angrebet er højest sandsynligt også udviklet på baggrund heraf, ligesom vi så det med Wannacry.

I Dubex har vi gennem de sidste par år forventet, at sådanne angreb med ormefunktionalitet ville komme. Senest i kølvandet på WannaCry advarede vi imod at lignende større angreb kunne være på vej. Det betyder, at man er nødt at have styr på sin interne sikkerhed, da blot én inficeret computer kan ramme det samlede netværk. De anbefalinger, vi sendte ud i forlængelse af WannaCry er således fortsat aktuelle. Læs vores generelle vejledning om ransomware her.

Sådan udvikler malwaren sig

1. Spredning til andre computere og systemer
Ved hjælp af tre forskellige metoder kan malwaren sprede sig mellem computere på samme LAN-forbindelse. Først skanner malwaren efter andre computere i samme /24 IP-segment, og for hver computer, som malwaren finder, forsøger den sig med tre forskellige teknikker at få adgang: ExternalBlue exploit (som brugt ved WannaCry), PSexec og til sidst Windows Management Instrumentation (WMI).

EternalBlue exploit

Hvis den fundne computer ikke er patchet og er sårbar over for det udnyttede EternalBlue  exploit kan malware overføre sig selv til computeren og starte malwaren på ny. Efter WannaCry vil de fleste sandsynligvis have pacthet systemerne, og dermed ikke være sårbare over for den anvendte exploit. Sårbarheden er således lukket med Microsoft opdateringen MS17-010 EternalBlue SMB Remote Windows Kernel Pool Corruption.

PSexec

PSexec er et remote command værktøj fra Microsoft, der bruges af mange systemadministrator til at udføre almindelig administration af brugernes PC’er på netværk. Petya-malwaren har indbygget en kopi af PSexec-værktøjet og kan derfor bruge dette program til først at overføre en kopi af sig selv og derefter starte kopien på den nye computer. Se en beskrivelse af PSexec her.

Windows Management Instrumentation (WMI)

WMI er et indbygget management interface, som bruges i Windows-domæner til at udføre remote administration af klienter. Interfacet har den funktion, at den kan overføre data mellem computere og køre kommandoer remote på computeren. Med en dataoverførsel af malwaren og en remote kommando kan malwaren spredes og installeres på nye computere. Se en beskrivelse af WMI her.

Udfordringen med PSexec og WMI er, at begge er en standarddel af Windows-økosystemet og virker på alle klienter, selvom de er fuldt patchede. Brugen af disse afhænger af hvilke rettigheder brugeren har på computeren samt på virksomhedens netværk. Problemet opstår hvis den kompromitterede bruger har administratorrettigheder på computeren og netværket. Så er der nemlig ikke nogen begrænsning i brugen af WMI og PSexec til at kommunikere med andre computere på netværket og dermed sprede malwaren fra computer til computer.

2. Malwaren placeres i boot-sektoren

Når malwaren har inficeret de tilgængelige computere på netværket, skriver den sig selv ned i boot-sektoren på disken. Det betyder, at når computeren startes næste gang vil malware boot-koden starte i stedet for den normale Microsoft boot.

3. Computeren rebootes

Efter boot-sektoren er ændret vil computer blive rebootet enten direkte eller via en task scheduler med et job, der er indstillet til at starte efter en time.

4. Kryptering af boot-sektor(MBR) samt MFT på disken ved opstart

Når computer starter op igen, bliver der vist en falsk chkdsk, som ser ud som om den er ved at kontrollere og rette fejl på disken, men det er her selve kryptering forgår. Først krypteres MFT (diskens indholdsfortegnelse) og derefter MBR.

5. Ransomware-besked vises på computerskærmen

Endelig vises en sort skærm med en ransom-besked, der beder ransomware-offeret betale 300 US$ i bitcoins til en modtageradresse, som vist på skærmen. Derefter bedes de kontakte bagmændene pr. e-mail for at få dekrypteringsnøgle, der skal låse systemerne op igen.

Den e-mailadresse, som henvises til i ransomware-beskeden er indtil videre er blevet lukket eller taget ned af det hosting firma, som den var placeret hos. Det betyder at de kompromitterede virksomheder ikke har mulighed for at kontakte bagmændene og få fat på den omtalte dekrypteringsnøgle, hvis man har forsøgt at betale løsesummen.

Dubex anbefaler dog at man aldrig betaler løsesummen, da der ikke er nogen garanti for at man får dekrypteringsnøglen og dermed adgang til sine systemer igen. Derudover vil den betalte løsesum kun være med til at holde gang i ransomware-industrien, og bevirke til at vi muligvis vil se flere lignende avancerede angreb i fremtiden.

Derfor har angrebet ramt hårdt og spredt sig

Det er ikke nemt at beskytte mod en malware som denne, når den benytter spredningsmekanismer, som er en del af det normale økosystem i et Windows miljø samt anvender de samme værktøjer som en it-afdeling bruger til administration af Windows-computere.

Den primære grund til at vi har set så mange blive ramt er sandsynligvis at malwaren udnytter at brugeren har administratoradgang i virksomheden, og derved ingen begrænsninger i at malware har kunnet udnytte Windows-funktionerne i PSexec og WMI.

Beskyt virksomheden mod avancerede forsøg på ransomware

Der er en række forholdsregler som organisationen kan tage for at beskytte sig mod malware af denne type.

Første og vigtigste råd er, at brugere aldrig skal have administratorrettigheder. Selv medarbejdere, med en administrativ it-funktion bør ikke have en administratorrolle i deres almindelige bruger. Man bør anvende en separat brugerkonto til formålet.

Oplys om og uddan medarbejderne i it-sikkerhed. Medarbejderne er first-line-of-defense, og udnyttes ofte i sådanne former for ransomware-angreb. Med den rette træning kan man uddanne medarbejderne til fornuftige it-brugere, som har mistænkeligheder for øje. På den måde kan man udstyre medarbejderne med de rette værktøjer, så de ved hvad de skal være opmærksomme på; eksempelvis vedhæftede inficerede filer.

Derudover findes der også en række tekniske løsninger, som kunne have stoppet angrebet fra at udvikle sig. Nogle af de ting man med fordel kan benytte er følgende:

  • HIPS/Endpoint sikkerhed: Klienterne på et netværk vil kun meget sjældent have behov for at kommunikerer direkte mellem hinanden, så med en firewall mellem de enkelte klienter kan man sikre sig at data, der overføres fra en klient til en anden gennemløber virksomhedens server og content filter-løsning.
  • Antivirus på alle klienter
  • Patch management: Sørg for at have en sund politik på plads samt patch management produkter, som holder al software opdateret. Det gælder også firmware i alt udstyr.
  • Firewall og segmentering: Begræns netværkstrafikken til det nødvendige, og del netværket op i segmenter, så skadens omfang kan begrænses i tilfælde af at man rammes af malware.
  • Content filter og Sandbox: Sørg for at al content til og fra internettet gennemløber en content filter-løsning. Løsningen skanner trafikken for skadelige koder.
  • Intrusion Prevention System (IPS) og logovervågning: Overvåg logs fra systemerne og anvend IPS til at holde øje og opdage hvis der foregår noget uventet på netværket.
  • Disable: Hvis der er funktioner i it-systemet som ikke anvendes, kan man med fordel fjerne dem eller disable dem, så en skadelig kode ikke kan misbruge disse funktioner.

Vil du vide mere?

Hvis du er bange for at du er blevet ramt at malwaren kan Dubex Incident Responde Team (DIRT) hjælpe dig med at rette op på skaderne. Læs mere om DIRT her.

Dubex kan hjælpe dig med alle de forebyggende aktiviteter, som kan beskytte dig mod lignende angreb i fremtiden. Vi hjælper dig med alt fra de tekniske værn til uddannelsen af dine medarbejdere. Kontakt Dubex her eller på telefon 32 83 04 30 og hør mere.