F-Secure: Netwerkdeel Petya-ransomware in februari ontwikkeld
Het deel van de Petya-ransomware waardoor het netwerken kan infecteren is volgens het Finse F-Secure in februari al ontwikkeld, wat opmerkelijk is, aangezien de twee NSA-exploits die de malware gebruikt pas in april openbaar werden. "Er is bewijs dat de ontwikkeling van het onderdeel om zich via netwerken te verspreiden in februari is voltooid", zegt onderzoeker Andy Patel.
De Petya-ransomware maakt gebruik van de EternalBlue- en EternalRomance-exploits van de NSA om zich door netwerken heen te bewegen, alsmede het gebruik van gestolen beheerdergegevens. De twee NSA-exploits werden pas in april openbaar gemaakt door een groep genaamd Shadow Brokers, maar zouden dus al in februari zijn verwerkt binnen de Petya-ransomware. "Deze exploits passen binnen de netwerkmodule als een handschoen", zegt Patel. In de analyse van F-Secure worden de Petya-ontwikkelaars dan ook "vrienden van de Shadow Brokers" genoemd.
De WannaCry-ransomware maakte ook gebruik van de EternalBlue-exploit, maar de ontwikkelaars van deze ransomware kregen er pas toegang toe nadat de Shadow Brokers de exploit in april openbaar maakten. Daarnaast verdiende de manier waarop WannaCry de EternalBlue-exploit implementeerde geen schoonheidsprijs, gaat Patel verder. In het geval van Petya is dat een ander verhaal en is er uitgebreid getest.
De onderzoeker denkt dat de ontwikkelaars van Petya door de plotselinge verschijning van WannaCry, waardoor organisaties opeens de Windows-updates voor de SMB-lekken in Windows begonnen te installeren, hun deadline besloten aan te passen. Verder zou het gedeelte van de ransomware dat de Master Boot Record (MBR) van de harde schijf versleutelt in mei zijn getest via een waterhole-aanval op een Oekraïense site die eerder door het Russische anti-virusbedrijf Kaspersky Lab werd beschreven.
Patel laat verder weten dat de Petya-ransomware een "vendetta" tegen de anti-virussoftware van Kaspersky Lab heeft. Als de malware Kaspersky-software op het systeem aantreft overschrijft die de eerste 10 sectoren van de schijf met willekeurige data en herstart daarna de machine, waardoor die onbruikbaar achterblijft. Als laatste merkt de onderzoeker op dat sommige van de getroffen bedrijven geen duidelijke relatie met Oekraïne hebben of de MEDoc-software gebruikten, waardoor de ransomware zich initieel verspreidde. "Dit mysterie is een van de redenen waarom we nog niet op de samenzweringstrein zijn gesprongen", aldus Patel.
Nee, want als ze die bevindingen openbaar zouden maken, zou het voor deze bedrijven zinloos zijn om er naar te zoeken. Dan blijven de kwetsbaarheden ook in de software aanwezig.
Het is primair de taak van Microsoft hun eigen software te controleren en weer te controleren. Zij hebben volgens mij nog meer geld en deskundigheid in huis om dit te doen, dan de NSA heeft.
Als dit zo is als jij dat stelt, doet Microsoft maar een "lousy" job of kan het zijn dat het OS waarop laag op laag werd geprobeerd het iets minder onveilig te krijgen, als OS met een open line interpreter in feite niet meer veilig te krijgen valt. (huidige status: problem factory by design, niet minder dan adobe en met een flinke inbreng van IBM overerfde narigheid).
Net als PHP en javascript onveilig afgeleverd en zeker toen niet klaar voor het Internet. The stack is a bitch en het bewijs wordt dag aan dag geleverd ook voor security deskundigen.
Kijk waar de ene security implementatie voor het ene OS een andere voor het andere propriety OS in de weg kan zitten. (salting versus error-flaw).
Bij No-Petya werden juist hard-coded zaken, waar men tegenwoordig zo dol op is, voor de slachtoffers fataal, waardoor vaccinatie niet kon ingrijpen.
Een voorbeeld waarom ik dit zeg. Hoe lang, denk al meer dan vijftien jaar kennen we het gevaar van Microsoft's dubbel extensie probleem (doc extensie ziet men, terwijl in werkelijkheid een executable kan gedraaid worden (verborgen).
Nog steeds niet gepatched.
Is men dan op veiligheid gefocused of is dit slechts holle praat?????
Zij hebben volgens mij nog meer geld en deskundigheid in huis om dit te doen, dan de NSA heeft.
Wanneer jij een veiligheids-probleem ontdekt in je auto, maak je er ook melding van, om andere mensen te helpen.
Het is daarna aan de fabrikant om het te bekijken en te verbeteren.
Hetzelfde gaat m.i. ook op voor andere producten, zoals software!
Wie voelen er nog meer op dit forum dat we aan de vooravond staan van een cyberconflict, dat tot WO III kan leiden?
Ik heb dat soort geluiden al meerdere malen hier tussen neus en lippen horen uiten in reacties en na de recente 'targeted cyberwar attacks' is dit gevoelen duidelijker aanwezig bij de bezoekers van security.nl
Misschien is het onze analyserende natuur, die dit teweeg brengt.
Waar baseren deze reageerders zich op? De retoriek, de troepenverplaatsingen naar rond de Kaliningrad/Koningsbergen enclave, gelijkaardig scenario als bij de Danzig/Gotenhafen corridor destijds (Gotenhafen naam tijdens de Duitse bezetting voor het Poolse Gdynia).
Zit men inmiddels economisch zo knijp, dat het militair industrieel complex de gaten op moet gaan vullen door te cashen van twee kanten van het conflict, net als destijds toen de Ford fabrieken zowel rollend materieel leverden aan de Rijkskanselier , A.H., zowel als aan Roerganger Stalin, Ford cashte toen dus dubbel en werden later nooit ter verantwoording geroepen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.