In de actualiteit is er een nieuw type ransomware genaamd “Petya” bekend en dat verspreidt zich in hoog tempo over de hele wereld. Het eerste nieuws hierover kwam uit Oekraïne waar ten minste twee energiebedrijven zijn getroffen. Daarna volgden meerdere meldingen vanuit verschillende landen, waaronder ook Nederland.
Achtergrond
Deze Petya variant volgt slechts enkele weken nadat de WannaCry hack in het nieuws kwam, waarmee honderdduizenden apparaten besmet waren. Deze variant van Petya heeft uitgebreidere verspreidingsmogelijkheden dan WannaCry (te weten PSEXEC en WMI), en heeft minimaal een van de exploits die ook in WannaCry te zien was; namelijk EternalBlue, een exploit gelekt door ‘The Shadowbrokers’ en oorspronkelijk gebruikt door de NSA.
Impact
Wanneer een computer wordt geïnfecteerd met deze specifieke versie van Petya, begint het meteen alle bestanden te encrypten op de lokale machine en probeert zich tegelijkertijd te verspreiden over het hele lokale netwerk. Na een aantal uur wordt het geïnfecteerde systeem herstart, en volgt er een melding waarin losgeld wordt gevraagd. Het is hierna niet meer mogelijk om het Windows operating systeem op te starten. Op het scherm wordt een Bitcoin adres getoond, een unieke tekenreeks dat de infectie identificeert en het e-mail adres om de ‘gijzelaars’ te contacteren wanneer het losgeld is betaald. Terwijl met WannaCry willekeurige IP adressen op het internet werden afgescand, richt Petya zich alleen op het scannen van de interne hosts. De wijze waarop de initiële infectie plaatsvindt wijkt dus af, maar is het helaas op dit moment niet exact bekend hoe Petya geïnitieerd wordt. Als de ransomware wordt uitgevoerd op een Windows servers, dan zal deze trachten zich te verspreiden naar alle aangesloten clients, door te kijken naar de DHCP-leases.
Atimo Online platform
Voor wat betreft het Atimo Online platform zijn alle bekende te nemen maatregelen getroffen en hoeven gebruikers van onze SaaS (Software as a Service)-toepassing zich geen zorgen te maken.