Aanvallen Petya-ransomware waarschijnlijk nog gaande

De aanvallen van de Petya-ransomware is waarschijnlijk nog volop aan de gang. Dat maakt de kans groot dat huidige gebruikers van het financiële softwarepakket M.E. Docs nog steeds zijn gehackt. Dit programma wordt vooral in de Oekraïne volop gebruikt door zowel burgers als instellingen.

Dat constateren althans onderzoekers van IT-beveiliger ESET. De cyberaanvallers hadden bovendien waarschijnlijk al drie maanden eerder dan gedacht volledige toegang tot M.E. Doc-gebruikers. Waarschijnlijk zijn daardoor de infecties bij gebruikers van M.E. Docs zorgvuldig gekozen.

 

Achterdeur

Voor de aanval met de Petya-ransomware is een ‘achterdeur’ in de M.E. Doc-software gebruikt. Deze achterdeur zat verborgen in een update van het programma. Het was zodoende al zeker al drie maanden in de software aanwezig. Aanvallers waren dus al die tijd in staat waren om op afstand de controle van geïnfecteerde systemen volledig over te nemen.

Zo konden ze bijvoorbeeld wachtwoorden stelen en andere commando’s uitvoeren. De aanvallers konden afzonderlijk bepalen welke actie ze bij het betreffende bedrijf wilden ondernemen. Het identificeren van individuele bedrijven gebeurde door het gebruik van unieke klantnummers van M.E. Docs. Waarschijnlijk hadden de aanvallers toegang tot de broncode van de M.E. Doc-software.

Momenteel is het nog niet met zekerheid te zeggen wat de aanvallers allemaal hebben buitgemaakt. Ook niet in Nederland. Experts gaan het in elk geval verder uitzoeken.

 

Ontkennen

De Oekraïense politie heeft inmiddels de servers van Intellect Service, het bedrijf achter M.E.Docs in beslag genomen. De makers ontkenden zelf echter deze week dat hun software de bron van de aanvallen was. De makers stellen juist dat de kans groot is dat het gaat om Russische hackers, maar de politie van het land ontkent dat. Zeker ook omdat veel Russische bedrijven en instellingen zelf door het virus zijn getroffen.

Oekraïnse belastingbetalers hebben vanwege de aanvallen een maand uitstel van betaling.

Eind vorige maand werd in Nederland voornamelijk de Rotterdamse haven getroffen door de aanvallen met Peya-ransomware. Vooral Maersk- dochter APM werd hierdoor zwaar getroffen.

 

Gerelateerde berichten...

X