Ransomware is een blijvertje

Filip Savat

Onze ogen zijn momenteel gericht op een nieuwe ransomware-variant genaamd Petya die zich op wereldwijde schaal als een lopend vuurtje verspreidt. Dit heeft funeste gevolgen voor diverse sectoren, met inbegrip van organisaties die vitale infrastructuren beheren, zoals energiebedrijven, banken en transportbedrijven.

Deze geavanceerde nieuwe ransomware is speciaal ontwikkeld om snel misbruik te maken van recent onthulde exploits en maakt gebruik van dezelfde kwetsbaarheden die werden ingezet voor de eerste Wannacry-aanval in mei dit jaar. Voor deze nieuwe aanval wordt gebruikgemaakt van een zogenaamde ‘ransomworm’. Deze luistert naar de naam Petya. De aanval richt zich niet op één organisatie, maar hanteert een soort van sleepnet-aanpak. De ransomware probeert elk apparaat te infecteren dat het maar tegenkomt om vervolgens misbruik te maken van bepaalde kwetsbaarheden.

Het lijkt erop dat deze aanval begon met de verspreiding van een Excel-document met kwaadaardige code die misbruik maakte van een Microsoft Office-exploit. Na een apparaat via deze weg te hebben geïnfecteerd, maakt Petya misbruik van dezelfde kwetsbaarheid waarmee Wannacry zich naar andere apparaten verspreidde. Het wormachtige gedrag van de nieuwe ransomware is te wijten aan het feit dat Petya actief naar een SMB-server zoekt. Het lijkt er namelijk op dat die zich verder verspreidt via de SMB-exploits EternalBlue en WMIC.

Zodra Petya een kwetsbaar apparaat is binnengedrongen, maakt de worm de Master Boot Record (MBR) onklaar. Daarop krijgt de gebruiker de volgende melding te zien: “Your files are no longer accessible because they have been encrypted”, vergezeld van de eis om voor circa 300 dollar aan losgeld te betalen in de vorm van Bitcoins. De gebruiker wordt er daarbij fijntjes op gewezen dat het uitzetten van de computer zal resulteren in het volledige verlies van het systeem.

Dit is een andere tactiek dan het gebruik van een afteltimer of het beetje bij beetje verwijderen van bestanden, zoals bij andere ransomware-varianten het geval is. Bij de meeste ransomware-aanvallen loopt de gebruiker alleen kans om gegevens te verliezen. Maar omdat Petya de Master Boot Record wijzigt, loopt het slachtoffer de kans dat diens complete systeem wordt gewist. Bovendien zorgt Petya ervoor dat het systeem om het uur opnieuw wordt opgestart. Daarmee wordt een extra denial-of-service-dimensie aan de aanval toegevoegd.

Petya maakt opvallend genoeg niet alleen gebruik van Microsoft Office-exploits, maar ook hetzelfde aanvalskanaal als Wannacry. De ransomworm maakt misbruik van exact dezelfde kwetsbaarheden in Microsoft-systemen die eerder dit jaar door de Shadow Brokers werden onthuld. Maar omdat er voor deze exploit gebruik werd gemaakt van aanvullende aanvalskanalen, zou het installeren van de laatste patches onvoldoende zijn geweest om deze aanval te pareren. Bedrijven kunnen er dus niet omheen om patching te combineren met effectieve beveiligingstools en -praktijken.

Er zijn een aantal interessante aspecten aan deze aanval verbonden. Ten eerste: ondanks alle ruchtbaarheid die is gegeven aan de kwetsbaarheden in Microsoft en de daarvoor beschikbare patches, zijn er blijkbaar nog altijd duizenden organisaties die verzuimd hebben om de laatste patches te installeren. Ondanks de wereldwijde Wannacry-aanval, en ondanks het feit dat een aantal van deze organisaties verantwoordelijk is voor het beheer van vitale infrastructuren. Ten tweede is de Petya-aanval mogelijk niet meer dan een test, en zullen er in de toekomst meer aanvallen volgen die misbruik maken van recent onthulde kwetsbaarheden.

Wannacry was in financieel opzicht niet bijster succesvol. De aanval bracht weinig geld in het laatje van de programmeurs. Dat was ten dele te wijten onderzoekers die erin slaagden om een verborgen kill switch (een soort van noodstopknop) te vinden die de aanval tot stilstand bracht. Hoewel de payload (kwaadaardige code) van Petya een veel geavanceerder karakter heeft, blijft de vraag of deze ransomware-variant vanuit financieel oogpunt succesvoller is dan zijn voorganger.

Ransomware heeft het afgelopen jaar een razendsnelle opmars gemaakt en een spoor van vernieling aangericht. Er is bovendien sprake van een verbazingwekkend breed scala aan ransomware-varianten.

Bij de allereerste ransomware-golf was er sprake van een gerichte aanval. Er werd van tevoren een slachtoffer uitgekozen, waarop speciale aanvalstechnieken werden ontwikkeld om de organisatie of het netwerk in kwestie te treffen. Daarbij werden bestanden versleuteld, zodat het slachtoffer daar geen toegang meer toe kan krijgen. Vervolgens wordt er losgeld gevraagd in ruil voor een code waarmee de bestanden weer konden worden ontsleuteld.

Ondertussen is er sprake van een toename van het aantal ransomware-aanvallen met een denial-of-service-dimensie. Hierbij wordt een denial-of-service (DDoS)-aanval uitgevoerd om de systemen en ICT-diensten van organisaties te overbelasten, zodat klanten en eindgebruikers daar geen toegang meer toe kunnen krijgen. Vervolgens wordt er om losgeld gevraagd. Pas als er wordt betaald, houdt de aanval op.

De Mirai-aanval die in augustus en september van 2016 plaatsvond, was de grootste DDoS-aanval uit de geschiedenis. Hierbij werden honderdduizenden geïnfecteerde IoT-apparaten omgevormd tot een kwaadaardig botnet. Recentelijk maakte een nieuw, op Mirai gelijkend IoT-botnet genaamd Hajimie misbruik van digitale videoapparatuur om organisaties te bestoken met een grootschalige DDoS-aanval. Ook in dit geval werd losgeld gevraagd in ruil voor het stopzetten van de aanval. Hajime is een nieuwe generatie cross-platform IoT-exploit die het momenteel op vijf verschillende platforms heeft gemunt. Het platform maakt gebruik van een toolkit die bepaalde handelingen automatiseert, evenals lijsten met dynamische wachtwoorden die het mogelijk maken om de aanval in stand te houden en technieken die menselijk gedrag nabootsen, zodat de aanval lange tijd onopgemerkt blijft.

Deze ontwikkelingen nemen een interessante wending met de opkomst van ransomware-as-a-service (RaaS), dat minder technisch onderlegde criminelen in staat stelt om ransomware-technologie in te zetten om zichzelf te verrijken met losgeld. In ruil voor het gebruik van een RaaS-platform betalen zij de ontwikkelaars een percentage van de winst. Recentelijk observeerden we de allereerste RaaS-ransomware die het op het MacOS had voorzien. Dit besturingssysteem vormde tot voor kort slechts zelden een doelwit van cybercriminelen. Maar aangezien het profiel van een Mac-gebruiker zowel technici (ontwerpers etc.) als topmensen omvat, zou de toename van het aantal aanvallen op Mac’s allerminst als een verrassing moeten komen.

Wat we nu zien, is dat er twee nieuwe exploits aan het ransomware-pallet worden toegevoegd. Met Wannacry maakten ontwikkelaars van ransomware voor het eerst gebruik van een worm om het verspreidingsproces te versnellen en de reikwijdte van hun aanval te vergroten. En met Petya wordt nu ook de Master Boot Record gemanipuleerd. En als een organisatie geen losgeld betaalt, loopt die niet alleen het gevaar dat er bestanden verloren gaan, maar dat het hele systeem wordt gewist.

Filip Savat, Country Manager Fortinet Belux