De nieuwste malware-aanval die duizenden slachtoffers zwaar in de problemen bracht roept een déjà vu-gevoel op. Het is iets anders dan het WannaCrypt-debacle in mei en de partij erachter is waarschijnlijk een andere, maar de adviezen komen op hetzelfde neer: patch kwetsbare systemen, betaal geen losgeld en doe een recovery vanaf een back-up.

Nieuw maar niets nieuws

De nieuwe ransomware - Kaspersky noemt het ExPetr omdat het geen Petya-variant is en Cisco komt met de verwijzing naar de oorsprong uit de Oekraïne: Nyetya - had verschillende aanvalsvectoren, waaronder de door de NSA ontwikkelde Windows-exploits EternalBlue en EternalRomance, twee exploits voor een bug in netwerkprotocol SMBv1.

In tegenstelling tot Wannacrypt beperkt ExPetr zich tot lokale netwerken en verspreidt het zich niet via internet. Het maakt de MBR onklaar, wat veel schadelijker is dan het versleutelen van individuele bestanden. ExPetr is de nieuwe aanval, maar het is verder technisch gezien niets nieuws. Het gebruikt bekende kwetsbaarheden, verspreid zich via een protocol dat sowieso niet internet-facing zou moeten zijn en misbruikt een OS-utility (PsExec).

Waslijst oorzaken

Ook bekend is het wijzen met beschuldigende vinger naar de bron en bijdragende oorzaken. Zo lazen we op blogs, sociale media en persberichten onder meer dat:

De aanval weer een voorbeeld was van hoe organisaties security niet serieus nemen.

Deze aanvallen makkelijk te voorkomen hadden kunnen worden met patches en een gelaagde aanpak van netwerkbeveiliging.

WannaCrypt ons al had moeten wakkerschudden en dat er nog steeds veel organisaties en gebruikers zijn die Microsofts patch uit maart niet hebben toegepast.

SMBv1 heel oud is en de poorten niet open moeten staan naar buiten toe.

Het negeren van beveiliging onverantwoordelijk zijn ten opzichte van investeringen, productiviteit, arbeid et cetera.

Die lijst met terechtwijzingen gaat maar door en door. Laten we daarmee ophouden. Schelden heeft geen zin. IT-organisaties snappen echt wel dat patch-, back-up-, incident- en recoverybeleid cruciaal is om het netwerk te beschermen tegen schadelijke aanvallen. Doen alsof ze onverantwoordelijk of incompetent zijn verandert in de eerste plaats al niets en ten tweede gaan we dan voorbij aan de uitdagingen waar systeembeheerders mee te maken hebben.

Bewustwording niet het probleem

Het staat buiten kijf dat kwetsbare systemen software draaien die niet meer ondersteund, verouderd of simpelweg ongepatcht is. Dat is voor niemand in de IT-wereld een verrassing - of dat zou het tenminste niet moeten zijn. "Maar hoeveel we ook praten over patchen als oplossing, in veel gevallen gebeurt het niet", zegt beveiligingsspecialist Wendy Nather van Duo Security. "Het is alsof het zorgen voor bewustwording geen zoden aan de dijk zet."

Hierna: Als we het allemaal weten, waarom gaat het dan steeds mis? Nou, vooral vanwege organisatorische en praktische redenen.