Nou, we zijn er denk ik wel over uit: Petya was geen ransomwareaanval maar sabotage. En Rusland heeft het gedaan. Toch? Of we het ooit zeker zullen weten, valt te bezien. En misschien zijn de meningen morgen weer bijgesteld. Een belangrijkere vraag is echter: hoe kon een virus voor zo’n grote puinhoop zorgen?
Basishygiëne ontbreekt
Nu is er veel aan de Petya-malware dat een beetje onderbelicht blijft in de berichtgeving. Zo is deze aanval succesvol door een gebrek aan basishygiëne in netwerken. Een heel mooi relaas daarover kwam van Jessica Payne die bij Microsoft werkt.
Petya verspreidde zich net als WannaCry via MS17-010, dus daar hebben we het telkens over. Maar veel belangrijker in het succes van de aanval zijn de andere verspreidingstechnieken. En die werken niet middels een softwarekwetsbaarheid, maar via missende basale securitymaatregelen.
PSExec is een vrij beschikbare beheertool. Mimikatz is ook vrij beschikbaar en kan worden gebruikt om gebruikersnamen en wachtwoorden van een systeem te stelen. Die twee zaken waren ingebouwd voor de verdere verspreiding van de malware. Daarnaast werd ook Windows Management Instrumentation (WMI) gebruikt, ook een regulier onderdeel van Windows, waar weliswaar beheerrechten voor nodig zijn.
Dus één computer werd geïnfecteerd, en vervolgens verspreidde het virus zich via bovenstaande methodes. Dat ooit een computer in je netwerk geïnfecteerd raakt, is aannemelijk en zelfs nauwelijks te voorkomen. Het punt over missende basale maatregelen gaat over de verspreiding van die eerste computer naar het hele netwerk.
Niks sophisticated
Bovenstaande verspreidingsmiddelen kunnen alleen tot de chaos leiden die we gezien hebben, omdat:
• het beleid voor user accounts slecht is. Beheerrechten zijn te breed uitgegeven en/of bestaan op lokale computers;
• netwerksegmentatie ontbreekt. Aanbrengen van compartimenten voorkomt verdere verspreiding, net als branddeuren in je bedrijfspand vuur tegenhouden.
Bij gebrek aan precies deze twee elementen kan iemand installatierechten krijgen op die eerste computer, en daarna in no-time met diezelfde installatierechten op elke computer in het netwerk iets installeren.
En dat is precies wat er gebeurde. Geen softwarekwetsbaarheid, niks sophisticated of geavanceerd. Gewoon simpele handelingen die ook makkelijk gedetecteerd en geblokkeerd kunnen worden, zoals Jessica Payne ook opmerkt.
Er moet iets veranderen
Dit is precies waarom wij, de cybersecuritycommunity, al zo lang om aandacht schreeuwen. Want dit is de reële staat van ICT en beveiliging in nog zo ontzettend veel bedrijfsnetwerken. En wij weten dat. En wij weten ook al lang wat daar de consequentie van kan zijn die we nu ook hebben gezien.
Megabedrijven die platliggen en met heel veel moeite terugkomen. Bedrijven die misschien niet tot de vitale infrastructuur behoren, maar op de een of andere manier via-via daar toch mee verweven zijn of op een andere manier een grote impact hebben op de samenleving.
Dus nu begrijpt de maatschappij waarom wij al zo lang in gecontroleerde paniek zijn. En waarom er iets moet veranderen. Geen next-gen securityspullen, niet veertig verschillende security-appliances op een rijtje. Gewoon basishygiëne.
Get in control
Maar wat moet ik nu doen Erik? Nou gewoon: cybersecurity eindelijk eens serieus gaan nemen. Trek een van de miljoenen standaarden, frameworks, normen, handreikingen of zoiets van de plank en ga het uitvoeren. Het kost tijd en geld, het zal ingewikkeld zijn en gebruikers zullen je vervloeken. Maar start! Wees niet het volgende slachtoffer dat onze maatschappij meesleurt in de malaise. Get in control.
Zonder snelle, gedegen stappen voorwaarts blijft ons digitale domein hopeloos brak, en is dit hoe collateral damage in cyberwarfare eruitziet. Een aanval op Oekraïne en de hele wereld kan puinruimen. De trend is gezet. Bereid je voor op meer.
Erik Remmelzwaal, CEO bij DearBytes
