Service bericht ransomware Petya aanval

data & security

Service bericht ransomware Petya aanval

Deze week werden we opgeschrikt door een nieuwe ransomware-variant die zich razendsnel verspreidde. De malware liet zich voor het eerst in de Oekraïne zien. Eindgebruikers startten het vermoedelijk zelf op, op het moment dat ze een extern afgenomen softwarepakket dachten te openen. Het virus verspreidde zich vervolgens vanuit Oekraïne de hele wereld over. Onder andere containerbedrijf Maersk en pakketbezorger TNT werden getroffen.

Hoewel alle antiviruspakketten naar aanleiding van de WannaCry-aanval hun signatures hadden aangepast, hebben de makers een gemuteerde versie ontwikkeld en verspreid. Daarnaast verspreidt Petya zich ook via de netwerkrechten van de gebruiker die de ransomware opent. Of via rechten die in het geheugen van die computer aanwezig zijn (oude beheersessies) en waartoe de gebruiker via zijn lokale beheerrechten toegang heeft.

Wat kunt u doen om uw organisatie tegen Petya en vergelijkbare virussen te beschermen? Een aantal tips:
– Zorg dat systemen van de laatste updates zijn voorzien
– Zorg dat anti-virus-software overal is bijgewerkt
– Zorg dat een Windows-domein minimaal op 2012R2 functional level acteert
– Markeer elk account dat over enige vorm van beheerrechten beschikt als ‘protected user” (2012R2 functional level noodzakelijk)
– Zorg dat KB2871997 op alle oudere, nog ondersteunde, Windows versies is geïnstalleerd. Schakel vervolgens op oudere Windows versies (Windows 7, Windows 2008) credential caching expliciet    uit (UseLogonCredential 0) -> https://support.microsoft.com/en-us/help/2871997/microsoft-security-advisory-update-to-improve-credentials-protection-a
– Log op systemen altijd in met ‘normale’ gebruikersrechten (geen admin). Gebruik accounts met verhoogde ‘admin’-rechten (waarmee op andere systemen kan worden ingelogd) alleen op het      moment dat ze echt nodig zijn
– Instrueer medewerkers extra terughoudend te zijn met het openen van onbekende of onverwachte bestanden die via e-mail worden aangeboden (e-mail lijkt in dit geval geen    distributiemechanisme, maar dit kan bij andere varianten veranderen)
– Overweeg privémail die via HTTPS wordt geopend en mogelijk minder goed wordt gecontroleerd (tijdelijk) te blokkeren
– Isoleer systemen die niet gepatcht kunnen worden binnen het netwerk zoveel mogelijk
– Blokkeer TCP-poorten die gerelateerd zijn aan SMB en RPC (zoals 445/139/135) zoveel als, zeker daar waar het om koppelingen met externe netwerken gaat

Bent u zelf verantwoordelijk voor het beheer van uw systemen, dan hebben wij u eerder geadviseerd te controleren of uw systemen helemaal up-to-date zijn en draaien op een door Microsoft ondersteunde Windows versie. Wenst u hierbij ondersteuning, neem dan direct contact op met uw account- of servicecoördinator. Voor unsupported Windows systemen (zoals Windows server 2003 en Windows XP) hebben wij ook eerder het advies gegeven te patchen. Microsoft heeft namelijk nog een patch uitgebracht voor deze verouderde Windows versies. Wilt u hierbij geholpen worden, neem dan contact met onze servicecoördinator. Wij helpen u graag met het updaten van unsupported systemen maar wij moeten u er wel op attenderen dat wij deze werkzaamheden uitvoeren voor uw rekening en risico.

Ook deze besmetting geeft weer aan hoe risicovol onbeschermde en niet up-to-date netwerken zijn op dit moment. Dit geldt niet alleen voor grote bedrijven maar ook zeer zeker voor MKB bedrijven waar beveiliging over het algemeen een lagere prioriteit heeft.

Wij houden uiteraard de situatie nauwlettend in de gaten en informeren u zodra er nieuwe ontwikkelingen zijn. Voor meer informatie over de Wet Meldplicht Datalekken hebben wij een handige infographics voor u samengesteld. Bekijk de infographic hier.