Petya nog boosaardiger dan WannaCry, maar Singapore impact nog steeds onzeker

0
116

0

De laatste Petya ransomware is beschreven om meer vicieuze dan zijn voorganger, maar de impact ervan in Singapore blijft grotendeels onzeker voor nu als er geen meldingen van grote verstoringen.

Singapore Computer Emergency Response Team (SingCERT) heeft een adviserende woensdag waarschuwing lokale bedrijven en gebruikers die Petya, hoewel geïnspireerd door WannaCry, was “gevaarlijker en opdringerig”.

“Zijn gedrag is voor het coderen van de Master File Boom (MFT) tabellen voor NTFS-partities en overschrijven de Master Boot Record (MBR) met een aangepaste boot-lader weer te geven tot een rantsoen opmerking en voorkomt dat slachtoffers van opstarten,” SingCERT zei.

In een notendop, Petya niet alleen codeert gerichte bestanden, ook de sloten van de gehele vaste schijf met behulp van enkele van de meest geavanceerde cryptografische algoritmen worden gebruikt om de controle van de master opnieuw opstarten sector, stopt de computer van het laden van het BESTURINGSSYSTEEM, waardoor het niet meer werkt. Het wordt ook wel PetrWrap en is een variant van de Petya familie.

Mike Sentonas, CrowdStrike ‘ s vice president van technologie, strategie, legde uit dat PetrWrap was “opmerkelijk” omdat het gecombineerd traditionele ransomware gedrag met heimelijke vermeerdering technieken.

“PetrWrap heeft de mogelijkheid om te verplaatsen naar lateraal voor het coderen van andere systemen in de organisatie door gebruik te maken van dezelfde EternalBlue kwetsbaarheid die werd gepopulariseerd door WannaCry vorige maand,” Sentonas zei. “Het wordt dan via een andere vermeerdering techniek die begint met het stelen van referenties, gebruikt u vervolgens deze legitieme referenties voor het infecteren van andere systemen op het netwerk via de ingebouwde Microsoft hulpprogramma’ s, WMI en PSEXEC–zelfs als een apparaat is hersteld.”

SingCERT toegevoegd dat de ransomware verspreid via e-mail, vermomd in een Microsoft Office-documenten, zouden de Petya installer geopend en uitvoering van de SMB-worm. Hij zei dat er verschillende versies van Microsoft Windows men dacht dat kwetsbare Windows 10, Windows 8.1 en Windows Server 2016.

SingCERT advies echo die van de bescherming van de gegevens en cybersecurity leveranciers, met inbegrip van Acronis, die zei: banken, Multinationals en kritische eigenaars van de infrastructuur in Singapore zou zijn primaire doelstellingen van de ransomware. Wanneer u wordt gevraagd, echter, zei dat het niet op de hoogte was van een lokale organisatie die waren getroffen door Petya.

Eugene Asejev, Acronis’ hoofd van onderzoek en ontwikkeling in Singapore, heeft uitgelegd: ‘De Petya ransomware is gevaarlijker dan Wannacry in de eerste plaats omdat het infecteert te gepatchte-up systemen, terwijl WannaCry gerichte vn-gepatchte systemen.

“Petya ook een invloed op de MBR, wat betekent dat de computer in gevaar wordt gebracht nog voordat Windows geladen kan worden. Het probeert ook om te stelen van de referenties van de gebruiker van de geïnfecteerde machines en maakt gebruik van deze referenties om verder te infecteren van andere machines die dezelfde referenties,” Asejev zei.

Hij zei: bedrijven beïnvloed door de ransomware in staat zou zijn om te herstellen van hun systemen als zij had een image-level back-up, maar opnieuw moet installeren, hun Os ‘ en als ze alleen was het file-level back-up voor het ophalen van hun bestanden. En omdat ze zouden verliezen hun configuratie en software-instellingen, hun herstel tijd zou worden langer, voegde hij eraan toe.

Sentonas zei dat er momenteel geen mechanisme om bestanden te decoderen die was gecodeerd door de ransomware. “Als een eindpunt is gecodeerd, de enige oplossing op dit moment is om te vegen en de wederopbouw van de machine en het herstellen van gegevens op het apparaat”, zei hij.

Aamir Lakhani, Fortinet ‘ s senior security strategist, zei dat het ook zou het starten van een systeem opnieuw op te starten op een één-uurs cyclus, die een denial-of-service (DoS) element voor de aanval. En terwijl WannaCry was niet bijzonder succesvol in het genereren van een financiële beloning voor de hackers, mede door de kill-switch is gemaakt, Lakhani opgemerkt dat Petya de lading zou worden “geavanceerder”. Hij voegde er echter op, dat het nog te vroeg om te zeggen of het zou meer financieel lucratieve dan WannaCry.

Volgens Ryan Flores, Trend Micro ‘ s Azië-Pacific senior manager van toekomstgerichte bedreiging onderzoek, een aantal US$7.500 gulden had betaald in het Bitcoin-adres wordt gebruikt door de aanvallers.

Flores drong er bij de betrokkenen niet vork uit het rantsoen, toe te voegen dat de verschillende organisaties in Europa en Azië waren getroffen door de ransomware.

De productie bij Cadbury ‘ s chocolade fabriek in Tasmanië, Australië, werd gedwongen om te stoppen laat dinsdag nadat het bedrijf werd getroffen door Petya. De site was in handen van spaanse food operator, Mondelez, en geproduceerd met een aantal van 50.000 ton chocolade per jaar.

Wereldwijd opererende organisaties, die naar verluidt beïnvloed door de ransomware inbegrepen de Nationale Bank van Oekraïne, Britse reclamebureau WPP, deens transport bedrijf Maersk, en de AMERIKAANSE farmaceutische bedrijf Merck.

Naveen Bhat, Ixia ‘ s Azië-Pacific managing director, merkte op dat, hoewel het niet op de hoogte was van alle bedrijven in Singapore getroffen door Petya, het zou “een veilige aanname dat de machines zijn getroffen in Singapore, hoewel geen gemeld tot nu toe”. “Petya geen nationale grenzen kennen. Bedrijven die niet hebben bijgewerkt met de nieuwste Windows patches kwetsbaar zijn,” Bhat zei.

0