Wanneer de Wannacry ransomware scheurde door de UK en Europa in Mei, was er een zekere logica aan de toegenomen omvang van de schade. Ransomware aanvallen zijn niet nieuw, maar deze had een geheim wapen, een geavanceerde software benutten bekend als EternalBlue, gepubliceerd door de Schaduw Makelaars in April en geloofd te hebben ontwikkeld door de NSA. Het was natie-staat, het niveau van wapens zich tegen zachte, civiele doelen, zoals het beroven van een kleine stad, bank met een Abrams tank. Als u op zoek waren naar antwoorden op de vraag hoe het zich zo ver zo snel, je hoefde niet ver te zoeken.
Nu, iets meer dan een maand later, een nieuwe stam van ransomware heeft toegebracht, vergelijkbare schade met bijna geen van die vuurkracht. Een variant van de Petya familie van ransomware, het virus heeft besmet duizenden systemen in de gehele wereld, waaronder grote multi-nationale ondernemingen, zoals Maersk, Rosneft en Merck, maar het is zo gedaan met veel minder grondstoffen. Petya is nog steeds met behulp van EternalBlue, maar inmiddels zijn velen van de doelgroep organisaties worden beschermd, en dat te exploiteren is veel minder van belang om de ransomware verspreid. In plaats daarvan, Petya exploits meer fundamentele kwetsbaarheid in de manier waarop we uitvoeren netwerken en, nog belangrijker, het leveren van patches. Ze zijn niet zo opvallend als een NSA exploiteren, maar ze zijn krachtiger, en kon verlaten organisaties in een veel moeilijkere positie als ze proberen om te herstellen van de aanvallen van vandaag.
Spreads SUPER snel zag org 5K systemen hit in minder dan 10 minuten.
Herstart de computer met losgeld bericht (MBR).
— Dave Kennedy (ReL1K) (@HackingDave) 27 Juni 2017
Waar WannaCry gericht op slecht gepatchte systemen, Petya lijkt het zwaarst getroffen bij grote bedrijfsnetwerken, een patroon dat is gedeeltelijk te verklaren door de manier waarop de verspreiding van het virus. Zodra een enkele computer op een netwerk is besmet, Petya leveraged Windows netwerken zoals Windows Management Instrumentation (WMI) en PsExec om het infecteren van andere computers op hetzelfde netwerk.
Beide instrumenten worden normaal gesproken gebruikt voor externe toegang van de beheerder, maar security-onderzoeker Lesley Carhart zegt ze vaak gebruikt door aanvallers als een manier om malware te verspreiden binnen een gecompromitteerde netwerk. “WMI is een super effectieve laterale beweging methode voor hackers. Het is vaak toegestaan en built-in, dus zelden aangemeld of geblokkeerd worden door de security tools,” zegt Carhart. “Psexec is een beetje meer afgeschreven en meer gecontroleerd maar nog steeds zeer effectief.”