5 brandende vragen over ransomware NotPetya
Hoe raak je besmet en hoe timmer je het netwerk dicht?
De jongste golf van de op Petya lijkende ransomware die onder meer Maersk onderuithaalde, zorgt voor nogal wat ophef. Het heeft minder systemen besmet dan WannaCrypt, maar graaft zich diep en geniepig in, waardoor het een groot probleem is voor besmette organisaties. 5 vragen over de malware.
5 brandende vragen over ransomware NotPetya
De jongste golf van de op Petya lijkende ransomware die onder meer Maersk onderuithaalde, zorgt voor nogal wat ophef. Het heeft minder systemen besmet dan WannaCrypt, maar graaft zich diep en geniepig in, waardoor het een groot probleem is voor besmette organisaties. 5 vragen over de malware.
3. Wie worden hierdoor geraakt?
De aanvankelijke golf is veel kleiner dan de eerste WannaCrypt-golf, maar valt op omdat grote namen onderuit zijn gehaald. Containerterminals van Maersk werden wereldwijd besmet, waardoor onder meer de Rotterdamse haven gisteren in de problemen raakte. Bij Maersk in Los Angeles kon er door de ransomwareaanval maar één vrachtschip vertrekken.
Cyber attack update 09:06 CEST 
— Maersk (@Maersk)28 June 2017WannaCrypt was na de eerste golf redelijk aan te pakken, maar beveiligers zetten zich nu schrap voor na-etterende effecten van NotPetya. Kaspersky maakt zich zorgen over de laterale bewegingen waar netwerken mee te maken krijgen, waardoor bedrijven hun machines langer offline moeten halen, meer systemen isoleren en uitgebreider op jacht moeten naar neveneffecten van de infectie.
NotPetya heeft daarmee veel meer kleefkracht dan WannaCrypt en met de nog niet helemaal geïnventariseerde vectoren (zoals potentieel via malafide macro's) en andere tools dan SMB-exploit EternalBlue is dit een stukje malware dat bedrijven grondig plat kan leggen omdat het zich zo diep ingraaft in het netwerk.
Plaats een readonly bestand met de naam perfc (en niet perfc.dat zoals in het artikel staat) in je windows directory van al je machines en je kan wat geruster werken aan de andere controles en patches.
Het is toch een vreemde zaak dat al die bedirjven na een grootschalige waarschuwing een dikke maand geleden nog steeds hun systemen niet gepatched hebben.
Hoe onverantwoord kun je het beheer vorm geven. Wat is de verklaring hiervoor, want dat lees ik nergens. Ik kan me lastig voorstellen dat grote firmas zo lang wachten met het updaten van hun systemen. Van Maart tot nu is er meer dan tijd genoeg gewees twel actie te ondernemen.
Blijkbaar is dat helemaal zo vreemd niet, aangezien het grote aantallen organisaties betreft. Beheersbaarheid van het patchproces in een MS-omgeving verbaast mij persoonlijk al zo lang als ik in dit vak werk dus ik ben niet zo heel verrast. Moge dit wel een alarmbel zijn voor betrokkenen.
Juist voor grote bedrijven en instellingen is de beheersbaarheid van het patchproces prima geregeld. Zaken zoals Wsus en SCCM voor degenen die het groot wil aanpakken leveren maatwerk en voldoen prima. Onbekendheid met die producten bij allerlei analisten en consultants die vaak zelf gefabriceerde ""oplossingen"" aanraden, zorgt voor de rommel vrees ik. Verder is daar namelijk weinig probleem mits je MS specifiek spul gebruikt.
Die alarmbel is al een tijdje heel luid aan het rinkelen en dan kun je een patch die het probleem sinds maart oplost/voorkomt niet gemist hebben. Blijft dus mijn vraag staan.
Er zijn nog wel eens wat zaken misgegaan, door interactie met virus bescherming en patches, of patches die het een en ander "platlegden"... dat wil je dan ook niet.
Gezien de aangetoonde realiteit bij vele grote organisaties, is dit dus niet waar: de tooling voldoet niet prima. Zelfs als niet-MS-beheerder ben ik al bekend met wsus en SCCM, dus onbekendheid van die tools lijkt me ook érg onwaarschijnlijk aangezien dit type bedrijven doorgaans MS-gecertificeerde beheerders aan boord heeft. Dat ben ik niet, en ook nooit geweest, maar zelfs ik ken deze spullen van MS al. Echte MS-professionals zouden beter moeten weten dan ik. Maar blijkbaar zijn er dan alsnog redenen om af te zien van deze spullen of zaken toch anders aan te pakken.
Ergens geef je zelf een beetje richting aan:
Lock-ins verkopen niet zo lekker meer tegenwoordig, evenmin als homogene infrastructuren. Zou dat het misschien kunnen zijn? Ik weet dat niet want het MS-ecosysteem is te groot en interesseert me inhoudelijk te weinig om dit in detail te volgen, maar ik hoor het graag.
Gebruik maken van goed werkende tools van de fabrikant zelf is niet echt een lock-in. Er zijn immers alternatieven die denken dat ze het beter doen.
En ja, ik kom veel bij uitermate grote instellingen waar Wsus en Sccm prima werk doen. Soms in combinatie met andere tools ( RES bijv) maar vaak gewoon out of the box. Testset voor uitrol en nooit problemen in al heel wat jaren werk daarmee.
Dus daar ligt de oorzaak niet. Conflicten met AV of security tools, mogelijk. maar daar kom je in de testopstelling direct achter dus dat bereikt nooit productie.
Akkoord.. maar de realiteit is blijkbaar weerbarstig. Ook hier zit voor de redactie van deze site wel weer een mooie aanleiding voor een goed journalistiek verhaal.
Hoe kan het dat de tools voor goed patch management kant en klaar op de plank liggen bij de fabrikant, maar dat vervolgens tóch de hele boel omvalt door ransomware? En dit dan nota bene bij grote organisaties die ofwel een eigen IT-afdeling van enige omvang in huis hebben, of dit uitbesteden aan toonaangevende marktpartijen.
Kortom: wie zit waar precies te slapen? Of zit er niemand te slapen en gaat dit om andere redenen fout? Wat zijn die redenen dan? Gaat er nog ergens een spreekwoordelijke kop op het spreekwoordelijke hakblok of blijven we doorkeutelen?
Er is nog nooit iemand ontslagen voor het gebruik van windows, dus dat blijft nog wel even doorkachelen.
De oorzaak ligt dan ook niet bij het gebruik. Dat is ongeveer net een soortgelijke conclusie dat zwart asfalt verantwoordelijk is voor veel verkeersdoden.
Blijkbaar is Windows wel zo gebrekking inzetbaar dat het keer op keer op keer op keer succesvol ten prooi valt aan dit soort aanvallen. Let wel: daarmee zeg ik niets over Windows zelf, want dat is gewoon software en alle software is buggy. Wat ik vooral bedoel, is dat het blijkbaar niet goed te beheren valt ondanks de stortvloed aan gecertificeerd personeel dat 's werelds HBO- en equivalente onderwijsinstellingen verlaat.
Mijn vloot aan Linux/FreeBSD-machines heeft zijn eigen portie narigheid inmiddels ook wel gehad, maar de heartbleeds en shellshocks hebben nooit een wezenlijke impact gehad op productie omdat het zich snel en geruisloos laat patchen. Nu geloof ik er weinig van dat ik nu iets vreselijk unieks doe in mijn organisatie, dus ik snap simpelweg niet waarom dit in de MS-wereld toch steevast zo moeilijk is.. en dat dan juist bij echt grote organisaties die hun spullen professioneel laten beheren door alom gerespecteerde marktpartijen en daar wel degelijk de juiste budgetten tegenaan zetten.
Kortom, ik zeg niet dat MS zelf of Windows hier het probleem zijn, maar iets in dit ecosysteem is zodanig doorgerot dat grote organisaties met MS-spullen in hun primaire line of business al heel lang hulpeloos op hun rug liggen tegenover dit soort relatief triviale malware.
Wat uberbofh hierboven zegt over ontslagen voor het gebruik van Windows is wat kort door de bocht misschien, maar het is wel een legitieme vraag en één die ik ook mijn directie voorhoud.
De inzet van Windows-omgevingen brengt een zeker risico met zich mee dat in alternatieve omgevingen veel kleiner is. Weeg dit af: faalkans versus impact en maak keuzes. Resultaat is dat de backoffice hier nu al volledig Windows-vrij is en dat bij desktops een soortgelijk traject is ingezet. Begin 2018 is hier in het geheel geen Windows meer aanwezig.
Het beheer verhaal is een herhaling van mijn eerdere vraag. Dat is echter niet nodig en het simpele feit dat vele miljoenen bedrijven gevrijwaard blijven deze besmetting bewijst dat ook.
Los even van de gerichte aanval waar hier sprake van lijkt te zijn: veruit de meeste Windows gebruikers hebben van dit probleem totaal geen last.
Dat een klein ( maar spraakmakend) deel dat wel heeft en dus hun beheer niet op orde is inderdaad verontrustend.
Dat blijkt ook uit de beheersfouten die nu naar voren komen: bedrijven die geen disaster recovery van servers kunnen uitvoeren doordat dat soort basis zaken gewoonweg ontbreekt. Alleen een standaard backup moet daar de zaak redden. Dan moeten de ontslagen dus veel eerder vallen bij de top die waarschijnlijk uit bezuiniging de verkeerde keuzes maakt.
Die uitspraak bewijst niks en is al helemaal geen simpel feit. Ik ken bijna geen windowsgebruiker die gevrijwaard is gebleven van ransomware.
Natuurlijk het ligt altijd aan het beheer bij jou. Wie heeft er geen corrupt AD of register meegemaakt door bugs in MS beheertools.
of door gebruik van verschillende talen/versies van een MS policy editor.
We lezen dat het bij grote internationale bedrijven met hun duur betaalde MS gecertificeerd eco systeem toch nog slecht af kan lopen en dat is wel een feit.
Dat blijkt nergens uit. Misschien eens een keer je beweringen onderbouwen. Dat de getroffen bedrijven aan het herstellen zijn komt omdat ze een disaster recovery plan hebben. Er moet namelijk opnieuw geïnstalleerd worden na het zoveelste "akkefietje".
Ubertje, er zijn honderden miljoenen windows gebruikers. Veruit de meesten hebben nog noit last gehad van ransomware en bij een standaard insallatie ook geen last van virussen e.d.
Je leeft echt in een parallele wereld lijkt het. Dat jouw kenniskring daar wel veel last van heeft is inderdaad opvallend. Leuen die allemaal op jouw kennis van windows misschien?
Dat zou namelijk heel wat verklaren.
En ik denk niet dat er iemand is met enige kennis van zaken die niet zal toegeven dat met name slecht beheer hier het probleem is. Dat jij dat niet graag hoort doet daar weinig aan af.
Een disaster recovery die dagen duurt .. dan heb je inderdaad je zaken niet op orde. Dat is in jouw omgeving waarschijnlijk normaal maar met windows hoeft dat niet. Prima te regelen. In jouw hobby wereld een fantastische stelling ongetwijfeld. Bij pros die hun zaken op orde hebben, normaal.
Geen enkele bewering is onderbouwd. Zoals altijd. Next
Wsus en SCCM biedt geen enkele garantie voor een werkend systeem. Waar denk je dat de DLL hel vandaan komt? Vandaar dat werken in containers een hype is. Dat gaat nog even wat tijd kosten. Ik vrees te veel.
Dat is de windows variant van de dependency hell onder linux. Al moet ik toegeven dat Linux daar eerder was ;)
UNIX was daar eerder. Linux heeft dit juist opgelost. MS heeft iets soortgelijks geprobeerd met een eigen package manager en de bal daarna gigantisch laten liggen waardoor het nu een puinhoop is in installatie-land op MS-platformen.
Linux heeft dit pas veel later opgelost. Juist daarom is er een reeks aan meer en minder slimme programmas ontstaan om die ellende aan te pakken. De dependency hell van Linux was ook wat zwaarder en veel ernstiger dan de dll hell van windows. ( die inmiddels ook geen issue meer is, net zoals de dependency problemen ook vrijwel opgelost zijn)
Beweer je nu écht met droge ogen dat MS het dependency-hell-probleem eerder heeft opgelost dan Linux?
Naast dat het niet waar is heeft MS het helemaal niet opgelost, gezien de enorme problemen sinds win10 (tot aan niet meer rebooten toe)
Nee, dat is niet wat ik zeg. Linux heeft vele jaren gruwelijk last gehad van de dependency hell. Dat is door zeer complexe hulp programmas opgelost. Dat die programmas zo hun problemen hebben is een ander verhaal.
Net zoals inmiddels bij Windows de DLL hell nagenoeg een probleem uit het verleden is.
Dus nee hoor, Linux was ook daar eerder. ( dat schijnt heel belangrijk te zijn)
Linux heeft de dependency hell geërfd van de UNIX-systemen waar het op lijkt en het probleem is binnen het Linux-ecosysteem opgelost. De kwalificatie 'zeer complex' voor een programma als rpm of dpkg is voor je eigen rekening.
Als Zorba dat zegt, is het tegenovergestelde waar. apt of yum upgrade is te ingewikkeld :) Daarnaast popt er b.v. in GNOME3 een notification event op dat er software patches beschikbaar zijn. Zelfs Mien kan dat handelen.
En daar ga je weer.. nog een tweetal dagen tot het weekend: hou vol!
Dependencys blijven ook nu nog een zorgenkindje. De verpakking van een te installeren product is dan maar een van de aandachtspunten ( en inderdaad een extra nadeel van linux distros die daarin geen keuzes willen maken)
Repos met daarin alles betreffende de dependencys of juist niet alles zodatje aangewezen bent op een andere repo komen nog steeds voor. Een mega grote .deb bijv om maar op alles voorbereid te zijn toont ook al zo primitief. Kortom, ja het werkt en diverse tools helpen daarbij maar het blijft een omweg die niet strcutureel beter is dan de windows methode. Maar meningen mogen anders zijn, no problem daar. Doe echter niet alsof het allemaal zo gemakkelijk is en goed werkt. De feiten tonen anders aan.
Onder windows wel. Is al uitgelegd waarom. Dat je het niet kan spellen zegt al genoeg.
Pure Zorba FUD. Onderbouwing kunnen we naar fluiten.
Jouw meningen zijn hier onderuit gehaald als pure FUD
De feiten toen aan dat het goed werkt en de feiten tonen aan dat het voor windows niet goed werkt. Dat kan iedereen opzoeken.
Fantastische
Uberse
Dommigheid,
yep dat doe je nogal vaak. Argumenten weerleggen doe je niet door hard te roepen en al helemaal niet door in herhaling te vallen.
Je bent met geen enkel bewijs/onderbouwing gekomen, alleen maar aanvallen op de man. Standaard Zorba reactie. Onprofessioneel.
Pure Zorba FUD . Het is juist een HELL in Windows omdat programma's overal over de hele wereld vandaan komen. Professionele Linux distro gebruiken maar 1 of 2 repositories.
Over de 2e extra repro lees je b.v.
EPEL packages are usually based on their counterparts and will never conflict with or replace packages in the base Enterprise Linux distributions.
Daarnaast draaien ontwikkelomgevingen continue regressie testen in deze omgeving. Daar heb Jij als niet-ontwikkelaar geen weet van anders maak je niet van die onnozele opmerkingen. Bij windows lukt dat niet omdat Microsoft niet zo'n complete testomgeving heeft, vandaar dat het bij een update regelmatig misgaat.
Grappig, ze blijkt heel vaak dat met name een heel grote distro als Ubuntu veel last heeft van regressiebugs. Vreemd als he tinderdaad zo goed geregeld zou zijn ;)
En ja, een beetje installatie van een linux distro begint al vaak met het toevoegen van al dan niet bekende en betrouwbare repos. Een van de vele zwakheden van linux, gebruikers moeten zaken doen waar ze geen flauw benul van de gevolgen hebben. Lees de forums maar eens even na.
En zet die rose linux bril eens een keertje af. Het is niet verassend op de desktop een hobbysysteempje en dat is al vele jaren zo. De redenen liggen voor het oprapen, maar je kunt daaraan voorbij lopen inderdaad ;)
En weer geen onderbouwing. Eentonig gewauwel.
Staat volgens toch duidelijk beschreven op Internet.
The malware has three mechanisms used to propagate once a device is infected:
EternalBlue - the same exploit used by WannaCry.
Psexec - a legitimate Windows administration tool.
WMI - Windows Management Instrumentation, a legitimate Windows component.
Via de tool Mimikatz worden cached credentials misbruikt waarna het via psexec/wmi over het netwerk gaat.
Zeer slim bedacht moet ik zeggen. Dit zou de snelle infectie in bedrijfsnetwerken kunnen verklaren. Of dan MS17-010 patch geinstalleerd is of niet, maakt niet uit. De uitbraak heeft dit niet nodig om te verspreiden.
Je slaat stap 1 over:
Eerst besmetting, dan propagatie. Besmetting (als bron van de uitbraak) van een machine met patch is onmogelijk.
Tja begrijpend lezen weer he. Hij slaat helemaal geen stap over. Hij zegt toch "The malware has three mechanisms used to propagate once a device is infected"
Je begint alweer vervelend te worden. het weekend komter zeker weer aan;)
Lees die laatste regel eens goed door.. de patch maakt wel deglijk verschil!
Helde ris inmiddels dat de besmetting binnen is gekomen via een update van een programma en vandaar de zaak besmet heeft. Als men geen local admin is dan kan er verder ook geen besmetting van de pc plaats vinden maar alleen van de gebruikersomgeving. Niet anders dan alternatieve minder succesvolle OS sen ook zouden hebben.
Dat snap ik want je had niet goed gelezen :)
Nee, ik geef aan dat je de serieuze discussie weer verlaten hebt en weer om je heen begint te schoppen. Typisch je weekend gedrag.
En je hebt de inhoudelijke zijde wederom niet begrepen blijkt. Opnieuw proberen!
Het worden weer zware dagen voor Zorba-tje...!
Vooral volhouden om het zoveelste meer dan overduidelijke MS-Windows-security probleem te blijven ontkennen en zeker nu niet opgeven... ;-)
Dank je.. Hoewel het vooral een eigen schuld verhaal is, leef ik mee met de bedrijven die getroffen zijn.
Dat wenst geen normaal iemand je toe.
Leuke kolder van je! LOL
Tuurlijk geef die MS certified beheerders maar de schuld!
Als er zoveel grote bedrijven de bietenbrug op gaan is er iets anders aan de hand hoor en als ik MS zou zijn, zou ik me dat aantrekken.
Elke week vliegen er MS autos uit de bocht. Ze hebben net een APK keuring gehad. Het is raadsel waarom het gebeurd.
Je fantasieverhalen slaan weer hevig toe merk ik. Daarmee is zinvolle discussie weer onmogelijk geworden. Jouw keuze helaas.
Hoe dom kan je zijn. Het bewijs ligt op straat (een haven van rotjeknor is tot stilstand gekomen) en webwereld besteedt er nu al meer dan 10 artikelen aan!
Er is het laatste jaar zeer weinig positiefs over windows te melden. Dat komt o.a. door malware en de gevolgschade. JIj bent het nu al weer vergeten omdat je geen negatief nieuws wilt horen.
Neem een pilsje en kom tot rust.. je moet nog een daag tot het weekend. Je gaat het redden!
MBR overschrijven klinkt als een local privilege escalation. Dit is geen ransomware maar bewust om zeep helpen. Ik had niet gedacht dat iemand dit zou durven.
Verder is het opvallend rustig hier en daar.
Reageer
Preview