In diverse nationale en internationale media wordt momenteel wederom gewaarschuwd voor een grootschalige ransomware aanval. Het betreft een variant van de Petya/GoldenEye/Mischa ransomware. Deze ransomware gebruikt dezelfde exploit als WannaCry: de zogenaamde EternalBlue exploit. Dit is een kwetsbaarheid in Microsoft Windows die in maart dit jaar bekend is geworden.
Reeds voor de uitbraak van WannaCry blokkeerde Palo Alto Networks deze exploit al [1]. Evengoed blijft het ON2IT SOC waakzaam. Indien het ON2IT SOC uw security apparatuur beheert, kan het zijn dat wij aanwijzingen hebben of binnenkort krijgen dat u getroffen bent door deze malware of dat aanvullende maatregelen noodzakelijk zijn. Is dat het geval, dan bent of wordt u uiteraard direct persoonlijk door ons benaderd, zoals u dat van ons gewend bent in dergelijke situaties.
Ondanks deze maatregelen adviseren wij u om met spoed eventueel kwetsbare systemen zo snel mogelijk van de MS17-010 patch te voorzien, en aanvullend gebruikers te informeren over de gevaren van ransomware. Zie ook [1] en [2] voor meer informatie.
Onlangs was er een zeer vergelijkbare aanval in het nieuws: WannaCry. Zover we nu kunnen overzien, zijn de maatregelen tegen Petya exact dezelfde als bij WannaCry. Voor een uitgebreide analyse én methoden om u tegen deze vorm van ransomware te wapenen, hebben wij u onlangs een publicatie gestuurd in een blogpost. Zie deze blogpost door onze CTO, Lieuwe Jan Koning. [4]
Daarnaast is het in het algemeen verstandig gebruikers periodiek erop te attenderen e-mail vanuit niet vertrouwde bronnen niet te openen.
Vanzelfsprekend houden wij deze ontwikkelingen nauwlettend in de gaten en informeren u waar nodig verder.
Bronnen:
[1] https://researchcenter.paloaltonetworks.com/2017/06/unit42-threat-brief-petya-ransomware
[2] https://www.ncsc.nl/actueel/nieuwsberichten/wereldwijd-nieuwe-ransomwarebesmetting.html
[3] Palo Alto Networks Threat Identifiers: 32494, 32393, 32422, 32424, 32427, 32716
[4] https://on2it.net/nl/wannacry-ransomware-een-slimme-organisatie-is-voorbereid/
Mocht u vragen hebben naar aanleiding van deze aanval of andere aanvallen, neemt u dan contact op met het ON2IT SOC. Wij zijn 24×7 bereikbaar via 088-2266201, servicedesk@on2it.net en https://eu.soc.on2it.net.