Nieuws

Blijf altijd up-to-date van het laatste nieuws!

Grootschalige uitbraak van nieuwe ransomware variant van Petya

Sinds dinsdag 27 juni is er een nieuwe variant van de Petya ransomware actief. Er zijn verschillende namen toegekend aan deze variant, in dit artikel refereren we aan deze ransomware als de nieuwe Petya variant.

Het betreft hier een verbeterde versie van de WannaCry ransomware welke in mei al uitgebreid de media haalde. Middels dit artikel informeren we u over maatregelen die u kunt treffen.

De nieuwe Petya variant is ransomware die in veel opzichten een stuk gevaarlijker is dan WannaCry. Het grootste risico is de kans op interne verspreiding nadat één van uw werkstations of servers besmet is geraakt. Door het gebruik van meerdere technieken is er een grote kans dat de besmetting zich in korte tijd als een olievlek zal verspreiden. Deze besmetting kan zowel Windows werkstations als servers treffen, ook als deze bijgewerkt zijn met de laatste patches en updates.

Een ander belangrijk verschil is de wijze waarop dit virus wordt verspreid en waarop de eerste besmetting plaatsvindt. Bij WannaCry verspreidde het virus zich enkel autonoom, een besmet systeem probeerde andere systemen op internet te besmetten en verspreidde zich op deze manier van systeem naar systeem.

Bij Petya is de wijze waarop deze zich verspreidt nog niet helemaal duidelijk en wordt hier flink over gediscussieerd in verschillende blogs en forums. Gezien de grote hoeveelheid besmette computers in korte tijd vermoeden we dat de eerste besmetting onder andere plaatsvindt door het openen van een besmette bijlage of download link in de e-mail. Deze manier van verspreiding is in het afgelopen jaar een beproefde en efficiënte methode gebleken.

Wat zijn de mogelijkheden om de risico’s voor organisatie te beperken:

De eerste stap blijft bewustwording, druk uw medewerkers op het hart om extra voorzichtig te zijn bij het gebruik van email en internet en om bij twijfel assistentie te vragen van de servicedesk of uw interne beheerder.

Naast bewustwording kunnen er een aantal technische maatregelen getroffen worden die het risico op besmetting van, en verspreiding over uw systemen kunnen beperken.

  • Updates updates updates. Hoewel deze specifieke besmetting niet gestopt kan worden door het bijwerken van uw systemen blijven we iedere gelegenheid benutten om het belang van het up2date houden van uw systemen te benadrukken. Zorg voor een goed geolied proces waarin updates structureel worden doorgevoerd en de achterstand hierin zo klein mogelijk blijft.
  • Anti-cryptoware policy. Deze centrale instelling die Promax bij vele klanten toepast zorgt ervoor dat uitvoerbare bestanden die als bijlage bij e-mail of die via de browser worden gedownload niet met één druk op de knop uitgevoerd kunnen worden. De gebruiker ontvangt een waarschuwing dat het uitvoeren van de bijlage is geblokkeerd vanuit veiligheidsoverwegingen.
  • Inzetten van de Windows Firewall. De Windows firewall is nog steeds een ondergewaardeerd component van Windows. Door deze op de juiste manier in te stellen kan voorkomen worden dat werkstations in staat zijn om elkaar te besmetten. Beperk dus de toegang tussen werkstations onderling.
  • Instellen van de juiste autorisaties. Het kunnen besmetten van een systeem is sterk afhankelijk van de rechten die de gebruiker op z’n eigen machine (en andere machines) heeft. Indien een gebruiker vanwege z’n werkzaamheden of gebruikte applicaties moet beschikken over lokale beheerdersrechten, zorg er dan voor dat dit enkel van toepassing is op z’n eigen systeem en niet op de systemen van anderen. Interne verspreiding vindt plaats doordat gebruiker A niet alleen rechten heeft op systeem A maar ook op systeem B en C waardoor deze via het netwerk eenvoudig besmet kunnen worden.
  • Inzetten van User Account Control (UAC) of Gebruikersaccountbeheer. U kent wellicht de meldingen die naar voren komen tijdens het installeren van een nieuwe applicatie waarin gewaarschuwd wordt dat er een systeemwijziging uitgevoerd zal worden met de vraag of dit akkoord is. Helaas wordt door veel organisaties dit mechanisme als hinderlijk ervaren en daarom uitgezet. Deze melding is een goed waarschuwingsmechanisme, zeker als dit gecombineerd wordt met een duidelijke gebruikersinstructie. Zorg dat dit mechanisme is ingeschakeld en dat uw gebruikers begrijpen wat de melding inhoudt.
  • En last but zeker not least: Maak gebruik van gescheiden accounts voor beheer en de normale werkzaamheden. Gebruik de beheeraccounts enkel voor het beheer van uw omgevingen en niet voor dagelijks gebruik op uw eigen werkstation. We zien helaas nog in veel gevallen dat beheerders gebruik maken van hetzelfde account om de dagelijkse werkzaamheden mee te doen en om beheertaken mee uit te voeren. Hiermee ontstaat het risico dat bij een besmetting van het werkstation van de beheerder ook servers eenvoudig besmet kunnen worden. Hoewel de beheerder dit niet wil horen vormen zij een relatief groot risico en zal een gerichte aanval zich vaak richten op deze personen binnen uw organisatie.

 

We realiseren ons dat het doorvoeren van wijzigingen aan uw infrastructuur tijd kost en niet met het drukken op een paar knoppen is doorgevoerd. Het is belangrijk om aandacht te besteden aan het treffen van maatregelen die ervoor zorgen dat uw infrastructuur structureel beter beschermd is tegen dergelijke dreigingen.

Promax kan u als dienstverlener en specialist op het gebied van informatiebeveiliging begeleiden in het treffen van maatregelen. Gezamenlijk met uw verantwoordelijke medewerkers wordt een impact analyse gemaakt van de mogelijke gevolgen van aanvullende maatregelen.

Daarnaast biedt Promax Cloud Security dienstverlening voor het permanent bewaken van uw omgeving om dreigingen snel te signaleren of om in geval van security incidenten effectief te kunnen handelen. Voor vragen kunt u contact opnemen met ons securityteam via het contactformulier van de website of telefonisch op nummer: 088-70 70 788.