Ruim een maand na de uitbraak van WannaCry werd de wereld afgelopen dinsdag 27 juni 2017 weer opgeschrikt door een nieuw type gijzelvirus, dat luistert naar de naam Petya.
Wereldwijd zijn vele bedrijven getroffen. Het gaat om grote bedrijven in onder andere Rusland, Oekraïne en het Verenigd Koninkrijk. In Nederland zijn containerterminal APM, medicijnfabrikant MSD en pakketbezorger TNT slachtoffer van het nieuwe virus. Het nieuwe gijzelvirus verspreidt zich weer snel. Naar verluidt zijn nog meer Nederlandse bedrijven getroffen. Na de eerste melding van ransomware schakelen deze getroffen bedrijven hun computers uit, waardoor de productie en dienstverlening vrijwel geheel stil komen te liggen. Dat kost de bedrijven enorm veel geld.
Petya-ransomware
Gijzelvirussen maken computers en bestanden ontoegankelijk. Met het nieuwe virus heeft betalen geen zin. Na betaling van het losgeld moet een bericht worden gestuurd naar een e-mail adres, dat inmiddels door de provider is opgeheven. Volgens beveiligings- en antivirus-experts wereldwijd gaat het om de Petya-ransomware dat gebruik maakt van de Eternalblue-exploit voor de verdere verspreiding.
Remco Hobo, Security Architect bij Infradata: “Deze huidige uitbraak lijkt heel erg op WannaCry, maar dan tot nu toe zonder de kill-switch (de website die geregistreerd werd waarna WannaCry stopte). Het grote verschil is wat het virus doet na infectie. Bij WannaCry was dat het encrypten van bepaalde bestanden, nu wordt dus de Master Boot Record aangepast zodat je gewoon nergens meer bij kan. Beide virussen lijken gebruik te maken van de EthernalBlue attack die is gestolen van de NSA. Microsoft heeft hiervoor in maart MS17-010 uitgebracht om de SMB bug in Windows op te lossen.
NotPetya
"Naast Petya is er nog NotPetya, maar daar zijn de details nog te vaag over. Het lijkt erop dat die ook op andere manieren kan verspreiden zoals remote-desktop maar vooralsnog zijn hierover geen harde feiten beschikbaar", verduidelijkt Remco Hobo.
Infradata houdt alle ontwikkelingen rondom alle (nieuwe) vormen van ransomware goed in de gaten en we zullen u via deze website op de hoogte houden. Remco Hobo: “Het is belangrijk om de computers van de laatste patches te voorzien. Zorg ervoor dat de MS17-010 is geïnstalleerd en schakel indien mogelijk de SMB1 uit.”
Bescherming tegen toekomstige varianten van ransomware
Wilt u voorkomen dat uw bedrijf straks slachtoffer is van gijzelsoftware? Neem dan contact met ons op voor een vrijblijvend gesprek met een van onze securityspecialisten. Wij kunnen uw organisatie adviseren over de beste manieren om beschermd te zijn tegen deze en toekomstige varianten van ransomware.