• Security Incident?
  • +31 88 000 2000
  • +31 88 000 2020
  • support@access42.nl
Access42 logoAccess42 logoAccess42 logoAccess42 logo
  • HOME
  • DIENSTEN
    • CYBER DEFENSE CENTER
      • Prepare
      • Detect
      • Prevent
      • Respond
      • Predict
    • DIENSTEN
      • Incident Response
      • Penetratietest (Pentest)
      • Red Teaming aanval
      • Cyber Security Assessment (CSA)
    • MANAGED SERVICES / OPLOSSINGEN
      • Nessus
      • Active Directory Security
      • CyberTIM
        • CyberTIM Aware
        • CyberTIM Detect voor Microsoft 365
      • Container Security CSI.2030
      • Vulnerability Management
        • Vulnerability Management
        • Web App Scanning
        • OT Security
      • Phishing & Triage
      • Brand Exploit Protect
      • E-Mail Security, Continuity & Archiving
        • E-mail Security 3.0
      • Endpoint Detection & Response (EDR)
      • Netwerk Detectie & Response (NDR)
        • Klaar om de controle over Microsoft (Office) 365-beveiliging terug te nemen?
        • AI-powered netwerk detectie en response
      • Thycotic – Privileged Access Management
      • Security Monitoring / SOC
  • ACCESS42
    • Over ons
    • Werken bij Access42
    • Partners
    • Disclaimer & Privacy Policy
  • EVENTS
  • NIEUWS
    • COVID-19
    • Nieuws
  • CONTACT
    • Contact
    • Inschrijven Nieuwsbrief
    • Incident Response
    • Categories
    • Products
    • Posts
    • Pages
    • Portfolio
No results See all results
BUY NESSUS
✕
    • Categories
    • Products
    • Posts
    • Pages
    • Portfolio
No results See all results
  • Home
  • Nieuws
  • Nieuws
  • PetrWrap Ransomware aanval combineert ExternalBlue exploit en het stelen van credentials

PetrWrap Ransomware aanval combineert ExternalBlue exploit en het stelen van credentials

27 juni 2017
Categories
  • Nieuws
Tags
  • CDC
  • cryptolocker
  • eternalblue
  • Malware
  • petrwrap
  • ransomware

Op 27 juni rond 10:30 UTC begon een nieuwe ransomware aanval over meerdere landen. De ransomware familie, aangeduid als PetrWrap, is opmerkelijk omdat het traditionele ransomware-gedrag combineert met stealthy propagatie technieken en een destructief aanvalselement. Endpoint Protection klanten van Access42 zijn beschermd tegen alle momenteel geïdentificeerde varianten van de bedreiging.

Naast het versleutelen van bestanden op geïnfecteerde systemen, beweegt PetrWrap letterlijk door het netwerk, door dezelfde EternalBlue-beveiligingslek te gebruiken die door WannaCry vorige maand werd gepupliceerd. Het gebruikt vervolgens een andere techniek om te verspreiden die begint met het stelen van credentials, en gebruikt vervolgens die legitieme referenties om andere systemen op het netwerk te infecteren via ingebouwde Microsoft-tools (WMI en PSEXEC). Ten slotte maakt PetrWrap gebruik van een destructieve techniek die voorkomt dat geïnfecteerde systemen starten met het opstarten van het master boot record (MBR).

Aanvallen zijn gerapporteerd in landen zoals Oekraïne, Rusland, Polen, Frankrijk, Duitsland, Spanje, het Verenigd Koninkrijk, Nederland, India, Israël, Australië en de Verenigde Staten. Sectoren die door deze aanval worden beïnvloed, zijn onder meer overheid, energie, financiën, defensie, telecom, media, maritiem, luchtvaart en vervoer.

 

PetrWrap Samenvatting / Bevindingen Access42

  • Initiële infectie in Oekraïne bereikt door kwetsbaarheid in M.E.Doc software te exploiteren

 

  • Geïnfecteerde systemen proberen dan de infectie te verspreiden naar andere systemen
    • Om andere systemen binnen de organisatie te infecteren, steelt de malware credentials en verspreidt zich met ingebouwde Windows-tools
      • WMI en PSEXEC:PSEXEC code snippet: C:\Windows\dllhost.dat \\IP ADDRESS -accepteula -s -d C:\Windows\System32\rundll32.exe “C:\Windows\perfc.dat”,#1 10 “USERNAME:PASSWORD”
      • WMI code snippet: C:\Windows\system32\wbem\wmic.exe /node:”IP ADDRESS” /user:”USERNAME” /password:”PASSWORD” process call create “C:\Windows\System32\rundll32.exe \”C:\Windows\perfc.dat\” #1 XX \”USERNAME:PASSWORD\”
    • Om aanvullende systemen buiten de organisatie te infecteren, probeert de malware het EternalBlue-beveiligingslek te exploiteren
  • De kwaadwaardige payload begint dan te versleutelen van gegevens, waaronder de Master File Table en MBR
    • De aanval creëert een geplande taak om het systeem opnieuw te starten nadat een bepaalde tijd is verstreken (10 tot 60 minuten):
    • Code snippet: schtasks /RU “SYSTEM” /Create /SC once /TN “” /TR “C:\Windows\system32\shutdown.exe /r /f” /ST XX:XX (waar XX: XX is de tijd)
  • De malware probeert ook zijn sporen te verwijderen door commando’s uit te voeren om gebeurtenislogboeken en de disk change log te verwijderen:
    • Code snippet 1: wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application
    • Code snippet 2: fsutil usn deletejournal / D C:
  • Bij het opstarten kan de eindgebruiker niet terug in Windows, en in plaats daarvan ziet de eindgebruiker een losgeld notitie (screenshot hieronder). Dit gebeurt omdat PetrWrap de MBR heeft gecodeerd, waardoor het normale Windows-opstartproces wordt verbroken.

 

 

Initiële aanvalsvector

Volgens meerdere bronnen werden infecties van PetrWrap eerst geïdentificeerd op systemen die een legitieme update uitvoeren voor de document management software M.E.Doc (http: //www.me-doc [.] Com [.] Ua). Deze software wordt veelvuldig gebruikt door Oekraïense bedrijven, en bedrijven die actief zijn in Oekraïne voor het handhaven van informatie over belasting- en payroll accounting. Uit deze geïnfecteerde systemen kan de ransomware zich verspreiden naar andere systemen met behulp van de hierboven beschreven technieken.

Gebaseerd op de analyse van de M.E.Doc software, en forensische analyse van initieel geïnfecteerde hosts, wordt aangenomen dat de malware voor het eerst werd geïnstalleerd als software update. Verdere rapportage van derden suggereert dat het M.E.Doc-updateproces begon met verspreiding van een nieuwe update met een kwaadaardige payload rond 10:30 UTC. De installatie van PetrWrap is ook gemeld door MEDoc-gebruikers op het forum van het softwarebedrijf (http://www.me-doc.com.ua/forum/viewtopic.php?f=5&t=13781&start=60) in omgevingen waarin alleen deze software aanwezig was.

 

Betaalmechanisme

De ransomware bouwers vragen een losprijs van $ 300 USD voor elke geïnfecteerde machine en heeft hiervoor een Bitcoin account opgezet via een e-mailadres (wowsmith123456 @ posteo [.] Net) die door de third-party e-maildienst Posteo wordt geleverd. Na kennisgeving van dit incident door de security community, heeft de e-mailprovider aangekondigd dat de dienst naar dit adres is opgezegd vanaf 16:15 UTC (https://posteo.de/blog/info-zur-ransomware-petrwrappetya-betroffenes-postfach -bereits-seit-Mittag-gesperrt). Als gevolg hiervan is het herstel van bestanden tegen betaling van het losgeld niet meer mogelijk voor getroffen slachtoffers, aangezien er momenteel geen mechanisme bestaat dat de ransomware-operators slachtoffers decryptiesleutels kunnen sturen.

 

Zodra de malware is geïstalleerd op een systeem, creëert het een geplande taak om het systeem een uur na de infectie opnieuw te starten, waarschijnlijk voor verdere verspreiding voordat de destructieve lading wordt gelanceerd. Om dit te bereiken, haalt het systeem een x86 of een x64-versie van een credential stealer, die lijkt op het bekende Mimikatz-tool, binnen.

 

De ransomware payload maakt gebruik van een combinatie van 2048 bits RSA en 128-bits AES in de Cipher Block Chaining (CBC) modus om bestanden te coderen met extensies die overeenkomen met items uit een hardcoded lijst. Verschillende forums en nieuwsgroepen melden overeenkomsten met de Petya ransomware; Access42 kon echter geen links bevestigen en beoordeelt dat de code structuur van deze nieuwe familie verschilt van Petya’s.

 

Mocht je slachtoffer geworden zijn:

  • Isoleer de besmette systemen zo snel mogelijk van het netwerk
  • Schakel het verouderde protocol SMBv1 uit
  • Beperkt het gebruik van accounts die “local administrator” zijn
  • Zet back-ups terug en zorg de je de betreffende Microsoft patches (MS17-010) installeert voor je weer verbinding maakt met het netwerk.

 

Deze pagina zal bijgewerkt worden als er nieuws is.

Delen
9

Related posts

18 oktober 2021

Hoe zichtbaar en kwetsbaar is uw organisatie?

Read more
11 oktober 2021

Aan de slag met e-mail security

Read more
6 oktober 2021

CVE-2021-41773: Path Traversal Zero-Day in Apache HTTP Server Exploited

Read more
PetrWrap Ransomware aanval combineert ExternalBlue exploit en het stelen van credentials

Access42 B.V.
Leusderend 38
3832RC LEUSDEN

CyberDefense Center
  • Prepare
  • Detect
  • Prevent
  • Respond
  • Predict
Diensten
  • Phishing as a Service
  • Penetratietesten
  • Red Teaming
  • Nessus
  • Container Security
  • OT Security
  • Vulnerability Management
  • Endpoint Security
  • AI-powered network detection and response
  • E-mail security
  • Privileged Access Management
  • Alle Diensten
Over ons
  • Over Access42
  • Kernwaarden
  • Missie en Visie
  • Werken bij Access42
  • Partners
  • Disclaimer en Privacy Policy
  • Responsible Disclosure
Get in touch

© 2021 Access42 | Cybersecurity. All Rights Reserved.
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept All”, you consent to the use of ALL the cookies. However, you may visit "Cookie Settings" to provide a controlled consent.
Cookie SettingsAccept All
Manage consent

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary
Altijd ingeschakeld
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
CookieDuurOmschrijving
_GRECAPTCHA5 months 27 daysThis cookie is set by Google. In addition to certain standard Google cookies, reCAPTCHA sets a necessary cookie (_GRECAPTCHA) when executed for the purpose of providing its risk analysis.
cookielawinfo-checkbox-advertisement1 yearThe cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-analytics11 monthsThis cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional11 monthsThe cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary11 monthsThis cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others11 monthsThis cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance11 monthsThis cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy11 monthsThe cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
Functional
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
CookieDuurOmschrijving
bcookie2 yearsThis cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
langsessionThis cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc1 dayThis cookie is set by LinkedIn and used for routing.
Performance
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
CookieDuurOmschrijving
YSCsessionThis cookies is set by Youtube and is used to track the views of embedded videos.
Analytics
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
CookieDuurOmschrijving
_ga2 yearsThis cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gat_gtag_UA_116473530_11 minuteThis cookie is set by Google and is used to distinguish users.
_gat_UA-116473530-11 minuteThis is a pattern type cookie set by Google Analytics, where the pattern element on the name contains the unique identity number of the account or website it relates to. It appears to be a variation of the _gat cookie which is used to limit the amount of data recorded by Google on high traffic volume websites.
_gid1 dayThis cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.
Advertisement
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
CookieDuurOmschrijving
bscookie2 yearsThis cookie is a browser ID cookie set by Linked share Buttons and ad tags.
IDE1 year 24 daysUsed by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
prism_4768097571 monthUsed by ActiveCampaign to track usage of newsletters
test_cookie15 minutesThis cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE5 months 27 daysThis cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.
Others
Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
CookieDuurOmschrijving
AnalyticsSyncHistory1 monthNo description
CONSENT16 years 7 months 5 days 13 hoursNo description
li_gc2 yearsNo description
UserMatchHistory1 monthLinkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
OPSLAAN & ACCEPTEREN
Aangedreven door CookieYes Logo
Aanvraag CyberTIM Detect voor Microsoft 365 Trial


    Download de gratis whitepaper!

     

      Inschrijven Webinar Vectra


        Inschrijving Webinar Cofense


          Inschrijven Webinar CrowdStrike


            Start de Mimecast Service vandaag nog!


              Start met de Cognito Detect for Microsoft 365 Free Service


                Download de Tenable.OT Solution Brief

                Name *

                Email *


                Prijslijst aanvragen

                 


                  Meer weten over onze diensten?