ICT Trends en Ontwikkelingen
Meer weten? Download het trendrapport! Download

WannaCry’s slechte neefje Nyetya; wat kunt u doen om besmetting te voorkomen?

De aanval van het Nyetya-virus eind juni verspreidde zich razendsnel en zorgde wereldwijd voor problemen. Het virus beschadigde in no-time de systemen van duizenden internationale organisaties, ook overheidsorganen waren slachtoffer. Met deze grote aanval is de mondiale ransomware dreiging behoorlijk toegenomen. In Nederland werden o.a. havenbedrijf APM Terminals en TNT getroffen. Is uw organisatie de volgende? Niet als u uw defensie op orde heeft!

Destructieve malware

Nyetya is de door Cisco Talos benoemde afkorting van NotPetya, afgeleid van het Petya-virus. NotPetya kreeg die naam omdat eerst werd gedacht dat het om het Petya-virus ging, maar later bleek dat NotPetya meer kan worden gezien als een wiper; destructieve malware die puur en alleen is ontwikkeld om zich snel te verspreiden en veel schade aan te richten.

Een maand na de grote uitbraak van WannaCry dook Nyetya op in de Oekraïense energie- en telecomsector. Bedrijfscomputers gingen plotseling op zwart; in beeld verscheen alleen nog een tekst waarin om 300 dollar aan losgeld werd gevraagd. Al snel verspreidde het virus zich naar andere landen. In Nederland werden Scheepvaartbedrijf Maersk en dochteronderneming APM Terminals getroffen, maar ook in Frankrijk, Spanje, India en Rusland kwamen infecties voor. Recent waarschuwde de centrale bank van Oekraïne financiële instellingen voor een mogelijke nieuwe cyberaanval.

Volgens onderzoekers van Cisco’s Threat Intelligence Center Talos verspreidde Nyetya zich niet via gebruikelijke routes als e-mail (phishing) of officedocumenten, maar via Oekraïense boekhoudsoftware genaamd MeDoc. Het updateproces van MeDoc zou zijn misbruikt om het virus te verspreiden. De bedrijven die in andere landen werden getroffen lijken zodoende ook gebruik te hebben gemaakt van MeDoc.

Explorerende ransomware

Nyetya lijkt een stuk geavanceerder dan WannaCry, doordat het behalve de bestanden ook de back-ups van geïnfecteerde gebruikers versleutelde. Toch denkt Talos dat Nyetya vooral een ‘explorerende hack’ is van criminelen om te onderzoeken hoe ze ransomware activiteiten in de toekomst effectiever kunnen ontplooien.

Daarmee geeft Cisco min of meer aan dat het hoogtepunt nog niet bereikt is. “Ik denk dat we slechts een topje van de ijsberg hebben gezien”, vertelt Rik Chorus, Security Channel & Distribution Manager binnen Cisco. “We staan aan het begin van een periode van grote dreiging. Er gaan meer ransomware aanvallen volgen die geavanceerder en effectiever zullen zijn dan we tot nu toe hebben meegemaakt. Deze varianten zullen zich nog sneller verspreiden, waardoor het lastiger wordt om snel een oplossing te vinden.”

Zorg dat u goed voorbereid bent

Moet u zich zorgen maken? Dat ligt eraan hoe goed u voorbereid bent. Met de juiste houding en voorzorgsmaatregelen zal u in staat zijn om veel dreiging buiten de deur te houden. Een hele belangrijke voorzorgsmaatregel is dat u ervoor zorgt dat al uw systemen en applicaties regelmatig gepatcht worden en up-to-date zijn.

De meeste ransomware varianten verspreiden zich namelijk via niet gepatchte kwetsbaarheden in programma’s. WannaCry en Nyetya bijvoorbeeld maakten gebruik van een kwetsbaarheid in het SMBv1 protocol in Microsoft Windows. Gebruikers met een niet-gepatchte verouderde Windows versie kregen via een Exploit kit malafide bestanden toegestuurd, waarna bestanden en/of desktops werden versleuteld en ze een ‘payload’ ontvingen.

Behalve het updaten van uw IT-systemen is het cruciaal dat u uw back-up & recovery procedures op orde hebt. Ondanks het feit dat het Nyetya lukte om ook gerepliceerde bestanden te versleutelen, is het hebben van back-ups (het liefst on- en offsite) een pré. Vervolgens bepaalt uw recovery plan in grote mate hoe snel u weer ‘live’ bent na een aanval.

Cisco Defense Solution

Een derde manier om ransomware besmetting te voorkomen is het hebben van een goede ‘defense solution’. Met behulp van Talos heeft Cisco een uitgekiende security architectuur ontwikkeld, bestaande uit Cisco Umbrella, Advanced Malware Protection en Threat Grid. Drie oplossingen die elkaar versterken in de jacht op ransomware.

Cisco Umbrella is een Secure Internet Gateway (SIG) die gebruikers voorziet van een veilige toegang tot het internet. Om te begrijpen hoe Umbrella ransomware bestrijdt, is het wenselijk kort toe te lichten welke aanvalsmechanismen ransomware gebruikt: ransomware heeft 3 mogelijke toegangswegen tot het systeem van een potentieel slachtoffer. De eerste poging is altijd een Exploit kit, waarmee getracht wordt een besmet bestand te sturen. Als dit wordt geblokkeerd, heeft ransomware een specifieke toolkit als alternatief. Als ook deze poging mislukt, wordt een command control toegepast.

Wat deze 3 opties gemeen hebben is dat ze proberen toegang te krijgen tot systemen via de DNS-laag. Met Umbrella zetten gebruikers hun DNS-server om naar OpenDNS, waardoor al het inkomende verkeer op deze DNS-laag nauwkeurig wordt gescand en geblokkeerd als dit enigszins verdacht gedrag vertoont.

AMP op iedere aanvalsvector

Advanced Malware Protection komt in actie op het moment dat één van de drie toegangswegen wordt gebruikt en er besmette bestanden in het netwerk actief zijn. AMP screent deze bestanden voor, tijdens en na besmetting en rekent zo op retrospectieve wijze af met malware. Met name bij Nyetya, waarbij malware zich razendsnel wist te verspreiden, is AMP een belangrijk verdedigingsmechanisme. AMP kan worden geïntegreerd in de next-gen firewall, endpoint security, websecurity en Umbrella.

Ten slotte betrekt Cisco Threat Grid bij de strijd tegen gijzelsoftware. Threat Grid Cisco’s sandboxomgeving, waarin het gedrag van onbekend verkeer en onbekende bestanden nauwkeurig wordt geobserveerd en geanalyseerd. Dankzij de verbinding met Talos worden Threat Grid, AMP en Umbrella continu voorzien van live informatie over bedreigingen. Hierdoor blijft uw defensie up-to-date en voorkomt u dat ransomware u altijd een stap voor is.

De tijd van afwachten is voorbij!

Het nieuwe dreigingsniveau onderstreept dat de tijd van afwachten en ageren definitief voorbij is. Als u waarde hecht aan uw bestanden en klantgegevens is het moment daar om uw security op orde te brengen. Patch uw systemen en programma’s, ontwikkel een back-up & recovery plan en versterk uw defensie met de ransomware defense solution van Cisco.

Meer trends op het gebied van Cybersecurity?

Download dan het volledige trendrapport – met de belangrijkste trends uit de rapporten van Cisco, Microsoft en Symantec – door het formulier in te vullen.

Lees ook

Reacties (0)

Gelieve in te loggen

Je moet inloggen om een reactie te kunnen plaatsen.