Petya – beviset på att WannaCry bara var början

F-Secure blockerar den nya ransomware-varianten som sprids på ett liknande sätt som det historiska utbrottet i maj. Men, den här gången verkar det vara proffs som ligger bakom.

Författare: F-Secure Business Security Insider
Datum: 28.06.2017
Lästid: 5 Minuter

ransomware wannacry

El-leverantören i Ukraina, en av världens största snackstillverkare och till och med systemen som övervakar strålningsnivåerna i Chernobyl – det är bara några exempel på de flera hundra företag och organisationer världen över som under tisdagen rapporterade att de fallit offer för ett ransomware från Petya-familjen.

Även om den ursprungliga attackvägen ännu inte är identifierad så visar F-Secures analys att den här versionen utnyttjar EternalBlue-sårbarheten; samma som Microsoft patchade i mars och som blev uppmärksammad i samband med WannaCry-utbrottet. De här luckorna – som upptäcktes av National Security Agency – blev offentliga först när hackargruppen Shadow Brokers släppte dem tidigare i år.

 

I flera år har F-Secure Labs varnat för att det finns en överhängande risk att de sårbarheter som tas fram av myndigheter i syfte att spionera kan komma att användas som effektiva vapen av brottslingar. Det vi sett nu är hur dessa varningar blivit verklighet – en verklighet som företag kommer att behöva brottas med i många år framöver.

WannaCry bevisade den för andra brottslingar att den här modellen fungerar: En ransomware-variant som sprids som en nätverksmask kan hålla stora delar av en organisations data gisslan mot lösensumma i form av Bitcoin. Det går alldeles utmärkt att göra. Men skadeverkningarna av WannaCry begränsades snabbt på grund av slarvigt skriven kod som i princip gjorde att upphovsmännen byggde in en ”kill-switch”. Det hela upptäcktes ganska kort efter utbrottet av en säkerhetsforskare, som faktiskt var på semester vid tillfället.

Nu har vi alltså Petya, som verkar vara ett betydligt mera professionellt genomfört försök att använda sig av samma metoder.

”WannaCry var regionalligan. Det här är Champions League”, säger Sean Sullivan, säkerhetsrådgivare på F-Secure. ”Amatörerna lyckades infektera en hel del människor förra gången. Den här gången är angriparna ute efter att casha in på rikigt.”

Till skillnad från de flesta andra ransomware-varianter så bjuder Petya på ”en elak twist” – det krypterar delar av hårddisken så att det inte går att komma åt Windows. Vi har sett exempel på den här familjen av ransomware ute i det vilda i mer än ett år, men ingen annan version har använt nätverksluckor för att spridas.

Sent på tisdagskvällen hade mer än 8000 dollar redan skickats över till den Bitcoin-plånbok som upphovsmännen bakom Petya använder sig av, enligt det här Twitter-kontot som håller koll på betalningar.

HÄR ÄR DE GODA NYHETERNA: F-SECURES PRODUKTER BLOCKERAR DEN NYA PETYA-VARIANTEN

Våra endpoint-produkter förhindrar samtliga exempel på hotet. F-Secures produkt för sårbarhetshantering flaggar de sårbarheter som utnyttjas så att de enkelt kan åtgärdas. Och inte minst – F-Secures managed services-lösning för incidenthantering upptäcker attacken och möjliggör omedelbara svar på hotet.

F-Secures endpoint-produkter erbjuder skydd mot Petya i flera lager, för att säkerställa att det finns flera tillfällen där attacken kan stoppas och förhindras.

* Den inbyggda lösningen för patchhantering, Software Updater, ser automatiskt till att systemet har patchar som täpper till EternalBlue-sårbarheten.

* F-Secure Secure Cloud upptäcker och blockerar den DLL-fil som används.

* F-Secures Anti-Malware-motor upptäcker och blockerar hotet med hjälp av flera kompletterande signaturer.

* F-Secures grundinställningar för brandväggar förhindrar Petya från att spridas på nätverket och därmed kryptera andra enheter.

F-Secures lösning för sårbarhetshantering, F-Secure Radar, flaggar om Microsofts säkerhetspatch saknas och om den sårbara port 445 är öppen. På så sätt kan IT-administratörer snabbt åtgärda de problem som finns, innan de hinner bli utnyttjade.

 

F-Secures tjänst för incidenthantering, F-Secure Rapid Detection Service, upptäcker ett stort antal av de TTP-tekniker som används av Petya, såsom att utnyttja rundll-32 och andra Microsoft-komponenter – vilket hjälper våra kunder att ta omedelbara beslut och agera snabbt om en infektion upptäcks.

VAD BÖR DU GÖRA?

F-Secures endpoint-produkter blockerar Petya-attackerna med sina defaultinställningar. Men det är en god idé att kontrollera att alla säkerhetsfunktioner är aktiverade. Dessutom bör du också vidta åtgärder för att se till att de sårbarheter som utnyttjas inte finns i din miljö – och vidta åtgärder för att förhindra attacken från att sprida sig vidare på nätverket.

  1. Se till att DeepGuard och realtidsskyddet är aktiverade på alla klienter inom organisationen.
  2. Säkerställ att F-Secure Real-Time Protection Network är aktiverat.
  3. Se till att F-Secures säkerhetsprogram använder den senaste databasen.
  4. Identifiera klientdatorer som saknar Microsoft-patchen 4013389 med Software Updater eller något annat verktyg och se till att patcha dem omedelbart.

* Patcha Windows Vista och senare med MS17010 (Windows Server 2008 och senare)

* Uppdatera Windows XP och Windows Server 20003 med den patch som Microsoft gjort tillgänglig

* Om du inte har möjlighet att lägga in patchen omedelbart så rekommenderar vi att SMBv1 avaktiveras genom att följa stegen i Microsoft Knowledge Base Article 2696547 för att minimera risken att drabbas.

  1. Kontrollera att F-Secures brandvägg har defaultinställning. Alternativt, konfigurera din brandvägg för att blockera trafik, såväl in som ut, på port 445.

VAD SKA DU GÖRA OM DU ÄR DRABBAD?`

  1. Ändra alla rättigheter på nätverksenheter till read-only för alla användare – eller se helt enkelt till att bara koppla bort dem, så långt det är genomförbart att klara sig utan NAS, SAN och liknande enheter.
  2. Se över din infrastruktur för att hålla koll på hälsoläget, så du inte missar om någon enhet rusar iväg i diskaktivitet, såväl läs- som skriv.
  3. Plocka upp telefonen och kontakta samtliga tredjeparter hanterar dina system att det kan komma en akut-patch. Det kan också vara läge att schemalägga ett omedelbart servicefönster, vid sidan av alla tester som krävs efter att enheterna är patchade.