Ny ransomware-kampanje observert

Publisert: 27.06.2017

NSM NorCERT ønsker å informere om en ransomware-kampanje som ser ut til å spre seg bredt og som minner om Wannacry.

Oppdatert: 30.06.2017, 13:21

Det var lenge meget uklart hvordan skadevaren spredde seg, samt hvilke tiltak en burde iverksette for å beskytte seg. Det har nå kommet flere analyser av angrepet som gjør at vi nå har en viss forståelse av hendelsen.

Microsoft har publisert en god bloggpost som tar for seg kampanjen, dette er anbefalt lesning. Microsoft har bevis for at initiell infeksjonsvektor er gjennom en oppdateringsprosess tilknyttet regnskapsprogrammet MEDoc.

Trend Micro og Kaspersky har gjort sine egne analyser av skadevaren. Rapportene deres inneholder flere forebyggende tiltak og tekniske detaljer om skadevaren.

Etter initiell kompromittering vil skadevaren forsøke å spre seg lateralt i nettverket ved å benytte forskjellige teknikker:

  • Stjele bruker-kredentialer fra aktive eller tidligere brukersesjoner
  • Benytte PsExec eller WMI med kredentialer
  • Benytte legitime funksjoner i SMB for å eksekvere skadevaren
  • Benytte SMB-sårbarheter, kjent som Eternal Blue

Følgende tiltak vil redusere risikoen for å bli infisert av denne kampanjen:

  • Oppdater Microsoft Windows maskiner til nyeste versjon. Minimum patch MS17-010
  • Vurder å blokkere PsExec på maskiner som ikke avhenger av dette verktøyet
  • Deaktiver SMBv1 hvis dette er mulig
  • Vurder å blokkere innkommende SMB-trafikk på port 139 og 445

NSM NorCERT anbefaler at man ikke betaler for dekryptering.