Spaning om nya ransomwarevågen Petya

2017-06-29

Inte allt för lång tid har gått sen WannaCry härjade genom Europa och igår var det dags för Petya att genomföra vad som blir ett allt vanligare inslag hos våra organisationer. Här är några goda källor och en infallsvinkel jag frågats efter.

Gustav Rydmark
Gustav Rydmark Tekniskt säljstöd Säkerhet

Igår dök Petya, som tidigare förekommit i mindre sofistikerade varianter utan maskegenskaper, upp hos ett stort antal organisationer världen över. I likhet med Wannacry är det ett ransomware som använder sig av svagheter i SMB för att sprida sig.

Värt att läsa

  • Vill du skaffa dig en första inblick, läs artikeln från Voister här med intervju av Trend Micro.
  • Svenska Cert, MSB, har gett ut sina rekommendationer och resurser här.
  • En väldigt tekniskt omfattade rapport finns givetvis att finna hos Microsoft, vars sen tidigare åtgärdade svaghet utnyttjas av ransomwaret. Det går att läsa mer om här.

 

Precis som tidigare är rekommendationer och råd att hålla system uppdaterade (det rör sig återigen om svagheter som redan åtgärdats) och att nyttja goda backupstrategier. I det här skedet är kanske det främsta rådet att inte ryckas med i den omfattande mediaspiralen.

Att upptäcka när någon drabbas

En intressant del av Petya är den påtvingade omstarten av maskinen som ransomwaret utför efter att ha genomfört sina initiala förändringar.

Här nedan är ett lite småspännande sätt att upptäcka den omstarten med en central övervakningsplattform, om man inte sitter på ett annat sätt att upptäcka när en maskin drabbas. Givetvis kan man utöver det nyttja sårbarhetsscanning för att hitta vilka maskiner som är sårbara mot de relevanta svagheterna, för att proaktivt täppa till problemet. Detta är mer ett enkelt realtidsexempel hur det kan synas från en SOC att Petya är på gång i en organisation.

Har du ytterligare funderingar eller tror du att Petya kan vara ett hot i din organisation?
Då kan du givetvis kontakta din lokala Atea-representant eller oss direkt på Atea Säkerhet.