Foto: Getty
Een andere grote cyberaanval snel verspreid over Europa en heeft nu geïnfecteerde systemen in de verenigde staten. Onderzoekers van Symantec en andere toonaangevende beveiliging bedrijven bevestigen dat ransomware wordt verspreid via EternalBlue, een exploit gelekt in April door de ShadowBrokers hacken van de groep, waarvan wordt gezegd te hebben gestolen uit de AMERIKAANSE National Security Agency.
Posteo, een in Berlijn gevestigde e-mail provider heeft in een verklaring zeggen ze hebt geblokkeerd, het e-mail adres naar verluidt gebruikt door de aanvallers, waardoor de slachtoffers niet langer een manier om contact met de aanvallers en decoderen van hun computers, zelfs na het betalen van het losgeld. “Wij dulden geen misbruik van ons platform: De tijdelijke blokkering van de misbruikte mailboxen is een normale procedure van aanbieders in dergelijke gevallen,” aldus het bedrijf.
Als er geen andere wijze van communicatie die de aanvallers, er lijkt niet langer een punt aan het betalen van het losgeld.
“Oh jongen, dat gaat interessant worden,” zei Jason Truppi, directeur van het endpoint security firma Tanium. “Dit creëert een aantal interessante gesprek: Wat is de verplichting voor een aanbieder om het te houden, toch? Is het beter om het te houden, en laat de mensen hun bestanden terug—of is het beter om het laag te houden en stoppen met toekomstige aanvallers van denken dat ze gaan om geld te krijgen. Ik denk dat het waarschijnlijk beter om het te houden, om eerlijk te zijn.”
Terwijl de grote bedrijven omgaan met deze bedreigingen dagelijks, Truppi zegt, het is de kleine – en middelgrote bedrijven getroffen nu het meest kwetsbaar. “Dat zijn de mensen die het meest over, want ze gaat te willen om contact met deze mensen die hun bestanden voor losgeld en ze zullen willen betalen. Alle bestanden die ze hebben verloren, dat is de levensader van hun bedrijf.”
De aanvallen dinsdag werden voor het eerst gemeld in Oekraïne, opvallende banken, de power utility Ukrenergo, en Kiev de belangrijkste luchthaven. Het heeft sindsdien verspreid in West-Europa en de Verenigde Staten. Elke infectie naar verluidt vraagt om een $300 betaling te decoderen, het getroffen systeem kan de master boot record (MSB); echter, de ransomware verschijnt ook in staat van het coderen van individuele bestanden na het opstarten.
Onderzoek naar de verspreiding van deze specifieke malware en het delen van informatie over de herkomst en de vector was chaotisch tijdens dinsdagochtend. Initiële rapporten stelde dit was een variant van ransomware bekend als Petya, die is ontstaan in het begin van 2016 en besmet duizenden computers eerder dit jaar—meestal door middel van phishing-e-mails met een kwaadaardig DropBox link. Petya beweerde ten onrechte veroorzaken van full-disk encryptie, volgens MalwareByte Labs.
Geruchten circuleerde ook dat dinsdag de grote aanval was gebruik te maken van een Microsoft vulnerability vermeld in April bekend als CVE-2017-0199; echter, meerdere onderzoekers hebben verteld Gizmodo dat ze hebben gezien geen bewijs van. AlienVault Labs toegeschreven aan de verwarring tot een gelijktijdige aanval in Oekraïne, waarbij bot malware bekend als Loki. “We hebben niet gezien een bewijs van Petya via CVE-2017-0199 zo ver. Maar we zijn op zoek naar het actief,” zei Emsisoft onderzoeker Fabian Wosar.
Chief Security Expert Aleks Gostev ook vertelde Gizmodo via Twitter dat Kaspersky Lab had gezien geen bewijs van CVE-2017-0199 wordt benut. Kaspersky stak een verklaring te zeggen dat dinsdag ransomware was in feite een variant van Petya. Om het punt over, het bedrijf met de naam de ransomware “NotPetya.”
“Het bedrijf telemetrie gegevens blijkt dat ongeveer 2.000 aangevallen gebruikers zo ver,” het Rusland op basis van cybersecurity bedrijf gezegd. “Organisaties in Rusland en de Oekraïne zijn het meest getroffen, en we hebben ook geregistreerd hits in Polen, Italië, het verenigd koninkrijk, Duitsland, Frankrijk, de VS en verschillende andere landen.”
“Systemen op mondiaal niveau blijven zeer kwetsbaar en selectieve reparaties dienen alleen voor het in stand houden van een aanval gebaseerd op de volgende kwetsbaarheid op wat is nu een bijna exponentieel groeiende lijst van bruikbare security bugs,” zegt Mike Ahmadi, een global director bij Synopsys Software Integriteit van de Groep. “Tenzij vulnerability management en certificering van systemen wordt het een wettelijke verplichting is, kunnen we verwachten dat de aanvallen die groter zijn en meer verfijnd. Als het staat vandaag de dag, het zal waarschijnlijk tientallen jaren duren om te graven onszelf uit de bijna bodemloze put van kwetsbare code maken van onze infrastructuur.”
Aanvullende rapportage door Kate Conger.