Dit moet je weten over Petya, de 'cyberaanval verhuld als ransomware'

Wereldwijd vonden dinsdag aanvallen plaats met het Petya-virus, dat computers vergrendelt en vraagt om losgeld. Dit moet je weten over de cyberaanval.

De infectie lijkt te zijn begonnen in Oekraïne.

Petya werd als eerst opgemerkt in de Oekraïense energie-, telecom- en mediasector. Bedrijfscomputers gingen plotseling op zwart; in beeld verscheen alleen nog een tekst waarin om 300 dollar aan losgeld werd gevraagd.

Al snel werd Petya ook in andere landen opgemerkt. Scheepvaartbedrijf Maersk en dochteronderneming APM Terminals, met een grote afdeling in de haven van Rotterdam, werden getroffen. Ook in Frankrijk, Spanje, India en Rusland kwamen infecties voor. In totaal zijn zeker duizenden computers getroffen.

Volgens beveiligingsonderzoekers verspreidde Petya zich onder meer via MeDoc, boekhoudsoftware uit Oekraïne. Het updateproces van MeDoc werd misbruikt om het virus te verspreiden, meldde Microsoft.

Volgens ESET zat het misbruikte beveiligingslek al drie maanden in MeDoc. Het bedrijf achter dit programma negeerde waarschuwingen over veiligheidsproblemen.

Veel bedrijven die in andere landen werden getroffen lijken ook gebruik te hebben gemaakt van MeDoc. Als één computer in een netwerk is getroffen, verspreidt het virus zich automatisch en razendsnel naar de rest van het netwerk.

Petya misbruikt daarvoor het lek dat ook door de WannaCry-ransomware werd gebruikt.

Dat virus trof in mei veel bedrijven. Het zogenoemde EternalBlue-lek werd oorspronkelijk gevonden door de Amerikaanse inlichtingendienst NSA en onder de pet gehouden. Nadat een groep hackers de hacksoftware van de NSA wist te stelen, maakte de NSA melding van het lek bij Microsoft.

In een recente update is het probleem verholpen, maar computers die de update nog niet hebben ontvangen zijn nog kwetsbaar.

Petya is stiekem helemaal geen Petya.

Begin 2016 werd voor het eerst een aanval met de ransomware Petya vastgesteld. Dinsdag leek het erop dat het nieuwe gijzelvirus opnieuw een variant van Petya was, maar dat is inmiddels in twijfel getrokken.

Volgens beveiligingsexperts worden bij de nieuwe aanval wel elementen van Petya gebruikt, maar zitten er ook allerlei nieuwe elementen in de schadelijke software. Sommige onderzoekers zijn de nieuwe variant daarom NotPetya gaan noemen.

Volgens technici is NotPetya een stuk geraffineerder dan Petya en WannaCry. 

Het innen van losgeld lijkt niet het hoofddoel te zijn geweest.

Hoewel op geïnfecteerde computers een melding wordt getoond waarin om losgeld wordt gevraagd, lijkt het onwaarschijnlijk te zijn dat geld verdienen het hoofddoel van de verspreiders van Petya is geweest.

De beveiligingsonderzoeker die actief is onder schuilnaam The Grucq wijst erop dat voor betalingen gebruik wordt gemaakt van één enkel bitcoin-adres, waar normaal voor elke geïnfecteerde pc een apart adres zou worden aangemaakt.

Ook zei de aanvaller te willen communiceren via een e-mailadres dat binnen enkele uren geblokkeerd werd. Daardoor is het ontgrendelen van bestanden na betaling van het losgeld überhaupt onmogelijk geworden.

"Dit is zeker niet gemaakt om geld mee te verdienen", schijft The Grucq. "Dit is gemaakt om zich snel te verspreiden en schade aan te richten, verhuld als 'ransomware'."

Steeds meer beveiligingsonderzoekers zijn het met hem eens. Uit een analyse van de code is inmiddels zelfs gebleken dat er helemaal geen bestanden worden versleuteld. In plaats daarvan wist Petya simpelweg delen van de schijf, waardoor hij onherstelbaar wordt beschadigd.

Het is onduidelijk wie achter (Not)Petya zit.

Omdat het gijzelvirus zeer geavanceerd is, speculeren beveiligingsonderzoekers dat een overheid verantwoordelijk zou kunnen zijn. Dat kan echter zeer lastig te bewijzen zijn.

Volgens onderzoekers zat Noord-Korea vermoedelijk achter de WannaCry-aanval, maar ook die conclusie kan niet met 100 procent zekerheid worden genomen. Het motief achter zowel de WannaCry- als Petya-aanval blijft vooralsnog onduidelijk.

Wel wordt er door de Oekraïense staatsveiligheidsdienst gewezen naar Rusland als schuldige. 

Consumenten lopen vooralsnog geen risico.

Petya lijkt zich puur op het bedrijfsleven te richten; het virus verspreidt zich niet via internet naar willekeurige andere computers, zoals met WannaCry wel gebeurde.

Beveiligingsexperts raden aan om niet te klikken op verdachte links en bijlages bij e-mails. Om infecties te voorkomen is het verder belangrijk om besturingssystemen en andere software te voorzien van de laatste updates. Ook virusscanners kunnen bescherming bieden, al bleek dinsdag dat de meeste scanners de nieuwe Petya-variant niet wisten te herkennen.

Lees meer over:
Tip de redactie