Hoe kon de (Not)Petya malware zich zo snel verspreiden?

Nieuwe digitale aanvallen komen steeds vaker in het nieuws. Hackers versturen regelmatig nieuwe malware naar hun doelwitten, waarbij de WannaCry-infectie van eerder dit jaar een goed voorbeeld is. Dergelijke malware verspreidt zich vervolgens als een epidemie over de aardbodem. Inmiddels gaat er sinds afgelopen week een nieuwe vorm van ransomware de ronde waar meerdere grote partijen inmiddels door zijn geraakt. Deze nieuwe malware krijgt in de media de naam '(Not)Petya'. Zelfs reuzen als het Britse advertentieplatform WPP, het Franse bouwmaterialenbedrijf Saint Gobain en de Deense containergigant Maersk zijn door de hackers op hun knieën gedwongen. Er zijn ook aanwijzingen dat de digitale aanval origineel gericht was op Oekraïne.

Achteraf blijkt dat (Not)Petya ook nog eens vele malen gevaarlijker is dan WannaCry. De malware blijkt namelijk totaal niet binnen de categorie ‘gijzelmalware’ te vallen, maar juist als ‘vernietigingsmalware’ te kunnen worden bestempeld. Het lijkt namelijk alle bestanden, waarvan het beweert deze te hebben versleuteld, simpelweg te verwijderen. Dit is overduidelijk vele malen destructiever dan het versleutelen van bestanden waar WannaCry zich destijds mee bezig hield. Toen konden beveiligingsexperts met een tool versleutelde bestanden ontgrendelen zonder het gevraagde bedrag door de hackers te betalen. Het herstellen van bestanden op het moment dat deze zijn vernietigd is echter onmogelijk. Zonder back-up kan de schade daarom ondenkbaar groot zijn.

Hoe kan het echter gebeuren dat dat dergelijke malware zich nog steeds zo snel kan verspreiden? Diverse bronnen geven aan dat de nieuwe malware (Not)Petya hetzelfde veiligheidslek misbruikt dat vorige maand nog door cryptoworm WannaCry werd gebruikt om gigantische schade aan te richten. Dit veiligheidslek werd in maart 2017 al door Microsoft gedicht met de MS17-010 beveiligingsupdate voor Windows. Toch blijven een hoop computers in de wereld kwetsbaar doordat deze niet van de update zijn voorzien. Hierdoor kunnen cybercriminelen, mede door onoplettendheid van computergebruikers, regelmatig en zeer effectief toeslaan. De reden hiervoor is echter niet altijd even voor de hand liggend, maar zorgt vanzelfsprekend wel voor een hoop ellende.

De schaal van deze infecties illustreert helder dat er iets goed mis is met hoe sommige grote organisaties en een hoop particuliere internetgebruikers met hun digitale veiligheid omgaan. Vaak worden computers niet automatisch voorzien van de meest recente updates. Hierdoor zijn deze extra vatbaar voor nieuwe (en oude) vormen van malware. Vaak is dit iets dat simpelweg door de gebruiker over het hoofd wordt gezien, in combinatie met onoplettendheid als het aankomt op het lezen van phishing-mails of andere vormen van dubieuze communicatie. Door een malafide bijlage te openen kan het al meteen raak zijn, en is de kans groot dat alle bestanden op de computer worden versleuteld.

Toch is dit niet altijd het geval en kan het ook een bewuste keuze zijn om de computer niet te updaten, iets dat bij grotere bedrijven vaak het geval is. Dit kan bijvoorbeeld voorkomen bedrijven die essentiële software gebruiken dat niet goed functioneert op nieuwere varianten van Windows, of simpelweg niet om kunnen gaan met specifieke updates. Hiermee wordt de kans op infectie logischerwijs wel vele malen groter, met alle gevolgen van dien. Als bedrijven hier proactiever omgaan kan een hoop schade worden voorkomen en zou de totale impact van aanvallen als WannaCry en (Not)Petya een stuk kleiner zijn geweest.

Microsoft adviseert de eerdergenoemde beveiligingsupdate MS17-010 te installeren, en adviseert diegene die dit niet kunnen om SMBv1 uit te schakelen met behulp van de stappen in Microsoft Knowledge Base artikel 2696547. Ook zou het volgens hen verstandig zijn om een regel toe te voegen aan de router of firewall om inkomend SMB-verkeer over port 445 te blokkeren.

Het spreekt voor zich dat het van essentieel belang is om jezelf te beschermen als het om digitale veiligheid gaat. Volledig onschendbaar ben je met een apparaat dat op het internet is aangesloten nooit maar het is wel belangrijk om na te denken over het verslagen van risico’s. En ook al vindt er een infectie plaats, met een gemaakte back-up achter de hand is de kans op onherstelbare schade een stuk kleiner. Maak daarom altijd op regelmatige basis back-ups, let goed op bij het openen van bijlages in e-mails en houd je systeem up-to-date. Als iedereen deze drie stappen in acht zou nemen maken we het cybercriminelen een heel stuk lastiger.

Jeffrey van Leeuwen, werkzaam bij technische support-afdeling van Argeweb