Oekraïense belastingssoftware verspreidt NotPetya-ransomware
De wereldwijde ransomware-aanval van deze week wordt verspreid door de Oekraïense belastingssoftware MEDoc. Veel bedrijven in Oekraïne gebruiken deze applicatie om hun belastingen in te dienen, waardoor het merendeel van de slachtoffers in dit land werden gemaakt. MEDoc ontkent voorlopig alle betrokkenheid bij de malware.
Updateproces
Marcus Hutchines, een Britse malware-expert, legt aan de BBC uit hoe de verspreiding van NotPetya in zijn werk gaat. “Het ziet er naar uit dat het automatische updatesysteem van MEDoc gecompromitteerd is en wordt gebruikt om de malware te downloaden in plaats van updates voor de software te installeren,” legt hij uit. “Actieve infecties van de ransomware startten initieel via het legitieme MEDoc-updateproces,” is Microsoft het met de expert eens.
Beveiligingsexperts raden bedrijven normaal gezien aan om de automatische updates van applicaties aan te laten staan om te voorkomen dat lekken open blijven staan. Door updates onmiddellijk te installeren, voorkom je immers dat malware via deze weg op je computer belandt. In het geval van NotPetya had deze best practice echter slechte gevolgen voor bedrijven. Het updateproces haalde de ransomware automatisch naar binnen, waarna de bestanden op computers werden versleuteld.
Lokaal netwerk
Eenmaal NotPetya zich een weg heeft gebaand naar een computer via het updateproces, past het twee technieken toe om zich verder te verspreiden over het lokale netwerk. In de eerste plaats gebruikt de malware de EternalBlue-exploit. Dat lek werd oorspronkelijk ontdekt door de NSA en werd later op het internet gelekt.
Verder probeert NotPetya de accountgegevens van IT-medewerkers te stelen. Indien de ransomware daarin slaagt, gebruikt het PsExec en WMIC om andere pc’s te besmetten. PsExec is een tool voor administrators waarmee je vanop afstand installaties kan uitvoeren. WMIC staat daarentegen voor Windows Management Instrumentation Command-Line en laat je toe om pc’s aan te sturen door opdrachten te typen.
Multinationals
Dat NotPetya zijn weg eveneens naar andere landen heeft gevonden, komt waarschijnlijk doordat er zich enkele multinationals bevinden in Oekraïne. “Ik wed dat veel van multinationals zoals Maersk en Merck MEDoc gebruiken,” vertelt Alan Woordward, een computerwetenschapper van de University of Surrey aan de BBC. Eenmaal een computer van zo’n multinational is besmet, kan NotPetya pc’s in andere landen besmetten.