Managed hosting door True

'Petya-aanvallers al drie maanden in systemen'

 

Target

De aanvallers achter Petya, de ransomware-aanval die 27 juni wereldwijd uitbrak, hebben waarschijnlijk drie maanden lang toegang gehad tot systemen voordat deze werden versleuteld. Dat stellen experts van ict-beveiliger Eset na een analyse van de kwetsbaarheid van M.E. Doc, het boekhoudprogramma dat waarschijnlijk de besmettingshaard vormt voor de wereldwijde cyberaanval.

De beveiliger gaat er ook van uit dat de infecties bij gebruikers van M.E. Docs zorgvuldig zijn gekozen. Volgens Eset is de aanval van de Petya-ransomware waarschijnlijk nog volop aan de gang en maakt dat de kans groot dat huidige gebruikers van het financiële softwarepakket M.E. Docs nog steeds zijn gehackt.

Volgens Eset is voor de aanval met de Petya-ransomware  een ‘achterdeur’ in de M.E. Doc-software gebruikt. De beveiliger heeft ontdekt dat deze ingang in elk geval drie maanden in de software aanwezig is geweest, zodat de aanvallers al die tijd in staat waren om op afstand de controle van geïnfecteerde systemen volledig over te nemen. Zo konden ze bijvoorbeeld wachtwoorden stelen en andere commando’s uitvoeren. De aanvallers konden ook afzonderlijk bepalen welke actie ze bij het betreffende bedrijf wilden ondernemen.

Het identificeren van individuele bedrijven gebeurde door het gebruik van unieke klantnummers van M.E. Docs. Waarschijnlijk hadden de aanvallers toegang tot de broncode van de M.E. Doc-software.

Schade kan verder oplopen

Dave Maasland, directeur Eset Nederland: 'De geïnfecteerde bedrijven zijn waarschijnlijk zorgvuldig uitgekozen. Aangezien de aanvallers drie maanden volledige toegang tot de netwerken hadden, kan de schade bij getroffen bedrijven verder oplopen. Momenteel is het nog niet met zekerheid te zeggen wat de aanvallers allemaal hebben buitgemaakt. Ook niet in Nederland. Dat kan van alles zijn.'

Eerder werd bekend dat de aanval is ingezet om zo veel mogelijk schade aan te richten en het innen van losgeld niet de drijfveer achter de aanval is. Bij de wereldwijde aanval zijn ook Nederlandse bedrijven betrokken geraakt. Het gaat onder meer om twee containerterminals van APM op de Rotterdamse Maasvlakte. Ook pakketvervoerder TNT Express en medicijnfabrikant MSD zijn Nederlandse bedrijven die met de aanval te maken hadden. 

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/6055917). © Jaarbeurs IT Media.

?


Lees meer over



Lees ook


 

Jouw reactie


Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren

Je naam ontbreekt
Je e-mailadres ontbreekt
Je reactie ontbreekt
Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×