Ransomware Outbreak

Gepubliceerd op: 27-6-2017
Ransomware Outbreak

Sinds dinsdag 27 juni vindt er een uitbraak plaats van nieuwe ransomware. Deze ransomware gijzelt, nadat systemen zijn geïnfecteerd, belangrijke documenten en geeft deze vrij in ruil voor bitcoins. Opmerkelijk is dat de nieuwe ransomware ook delen van de harde schijf gijzelt, waarna opstarten onmogelijk wordt. Via deze blog houdt Motiv u op de hoogte van de ontwikkelingen rond deze nieuwe ransomware aanval.

Update 28-06-2017 15:10

De initiële aanvalsvector welke heeft geleid tot de verspreiding van de ransomware lijkt een update mechanisme van een software product van de Oekraïense fabrikant Me-Doc te zijn. Over hoe de ransomware zich vervolgens extern heeft verspreid richting organisaties in andere landen die geen Me-Doc gebruiken wordt nog altijd gespeculeerd.

Sommige bronnen spreken over externe verspreiding door fouten in netwerkconfiguraties van besmette systemen in combinatie met het interne verspreidingsmechanisme van de ransomware. Andere bronnen spreken over de mogelijkheid van externe verspreiding door middel van directe netwerkkoppelingen van organisaties met verschillende vestigingen, partners of leveranciers.In beide gevallen zou het interne verspreidingsmechanisme hebben kunnen leiden tot een externe verspreiding.

Ook zou de verspreiding gedeeltelijk via een Oekraïense website zijn verlopen door middel van een zogenaamde waterhole attack. Hierbij is tot dusver echter geen misbruik van kwetsbaarheden waargenomen en de website is inmiddels hersteld.

Update 27-6-2017 23:00

In tegenstelling tot eerdere berichtgeving lijkt e-mail (phishing) als (initiële) aanvalsvector nu onzeker. Voor de verspreiding zou de ransomware naast Server Message Block (SMB) volgens sommige bronnen ook gebruikmaken van Remote Desktop Protocol (RDP). Eenmaal binnen behoren vervolgens ook WMI(C) en PsExec tot de methoden voor de verdere verspreiding via interne netwerken. Daarom wordt naast patching, netwerksegmentering, monitoring en onderschepping van SMB (v1) en RDP, ook de controle en beperking van het gebruik van "local administrator" accounts binnen Windows domeinen aanbevolen.

Verder lijkt het mechanisme voor het opheffen van de gijzeling, dat afhankelijk is van e-mailcommunicatie met de partij achter de ransomware-aanval, niet te werken omdat het e-mailadres van de deze partij is geblokkeerd door de desbetreffende e-mailprovider. Het lijkt daarom op dit moment niet zinvol om over te gaan tot betaling van losgeld in een poging om de toegang tot gegevens en functionaliteit te herstellen

Update 27-6-2017 19:40

De aanval lijkt sterk op de WannaCry uitbraak van 12 mei 2017. De nieuwe uitbraak misbruikt dezelfde kwetsbaarheid (MS17-010) in het Microsoft Windows besturingssysteem. Systemen die niet gepatched zijn kunnen geïnfecteerd raken en daarmee andere systemen infecteren. Dit betekent dat de ransomware zich als een olievlek over de rest van de infrastructuur kan verspreiden. 

Voor zover nu bekend lijkt de methode van verspreiding anders te zijn dan bij WannaCry. WannaCry verspreidt zichzelf door systemen via het internet rechtstreeks aan te vallen. Deze nieuwe ransomware lijkt echter gebruik te maken van phishing e-mailberichten, waarbij de ontvanger gevraagd wordt om een Office document te openen. Na het openen van het document lijkt het systeem eerst te worden besmet via een andere kwetsbaarheid (CVE-2017-0199) en lijkt de verdere verspreiding van de ransomware binnen het interne netwerk sterk op WannaCry.

Motiv volgt de uitbraak met zijn Security Operations Center nauwlettend, informeert haar klanten en neemt direct maatregelen waar nodig.

Betrokken systemen

De nieuwe ransomware lijkt zich, voor zover nu bekend is, te richten op Microsoft Windows systemen die nog niet gepatched zijn tegen de MS17-010 en de CVE-2017-0199 kwetsbaarheden. Naar aanleiding van de vorige WannaCry uitbraak zijn veel systemen gepatched. Echter gezien de nieuwe manier van verspreiden adviseert Motiv om te valideren of alle systemen voorzien zijn van de betreffende patches. Mobiele apparaten gebaseerd op IOS of Android zijn niet kwetsbaar.

Microsoft heeft voor verouderde Windows versies die officieel niet langer worden ondersteund, zoals Windows XP, Vista, 8 en Windows Server 2003, bij uitzondering ook patches beschikbaar gesteld.

Beschrijving

De methode van infectie is op dit moment nog niet met zekerheid vast te stellen. Verwacht wordt dat minimaal een van onderstaande methoden is toegepast: 
  1. Phishing mail: Door middel van een phishing (e-mail) bericht worden gebruikers verleid om een bestand te openen waar kwaadaardige scripts in verborgen zijn. 
  2. Kwetsbaarheid:  Kwetsbare systemen die of direct via het internet of via het interne netwerk te bereiken zijn via SMBv1 kunnen direct geïnfecteerd worden.
Voor zover nu bekend wordt na infectie het audit logboek (Windows EventLog) geleegd. Tevens wordt een geplande reboot uitgevoerd, waarna het systeem niet meer opstart

Advies

Er zijn verschillende adviezen die opgevolgd kunnen worden om infectie te voorkomen of schade te beperken.
  1. Patch zo snel mogelijk alle systemen die kwetsbaar zijn voor MS17-010 en CVE-2017-0199. 
  2. Schakel het SMBv1 protocol zo snel mogelijk uit en maak gebruik van de nieuwe versie.
  3. Zorg ervoor dat systemen niet direct vanuit het Internet benaderbaar zijn via SMBv1 (tcp/445).
  4. Blokkeer inkomende e-mailberichten met versleutelde bijlagen, of bijlagen met scripting (macro’s).
  5. Installeer de laatste signatures op uw Intrusion Prevention Systeem en zet deze signatures op ‘block’ mode.
Vanzelfsprekend is het maken van back-ups en het periodiek testen van aanverwante procedures essentieel om na gijzeling de gegevens en functionaliteit spoedig te kunnen herstellen. Daarnaast bevelen wij aan om uw medewerkers te informeren over de gevaren van phishing e-mails. 

Via deze blog houdt Motiv u op de hoogte van de ontwikkelingen rond deze ransomware aanval. Mocht u vragen hebben, kunt u altijd contact met ons opnemen:

Contact Formulier

 Security code

Neem contact op met

Erik Delfgaauw 314x

Erik Delfgaauw

Product Manager

Next Generation Firewall | Veilig Telewerken | Sterke Authenticatie

+31 30 6877 007

Neem contact op per e-mail

Bezoeken-Security-CheckUp-Pagina