NSA-hackingtools op straat

Het hackerscollectief The Shadow Brokers (TSB) heeft in april een van hun heftigste lekken uitgebracht door een groot aantal hackingtools van de Amerikaanse inlichtingendienst NSA online openbaar te maken.

Hiermee zijn onder andere een aantal kwetsbaarheden in Windows blootgelegd. Dit maakt het mogelijk om Windows-systemen op verschillende manieren aan te vallen en te infecteren met ransomware of andere malware, zoals DoublePulsar en WannaCry. 

Grootste aanvallen tot nu toe dankzij de NSA-hackingtools

DoublePulsar backdoor

Naast kwetsbaarheden bevatte het vijfde lek van The Shadow Brokers ook tools en malware om te installeren op kwetsbare computers. Eén vorm van malware die tot nu toe breed is ingezet, is een Trojaans paard genaamd DoublePulsar.

Dit Trojaans paard creëert een backdoor op een computer en communiceert onder andere via het SMB-protocol (Server Message Block) met de aanvaller via poort 445. Langs deze weg kan kwaadaardige code geïnjecteerd worden. Ook maakt DoublePulsar het makkelijk voor andere malware een systeem binnen te dringen, zoals WannaCry. Zonder DoublePulsar zou WannaCry zelf het werk moeten doen om zich in een systeem te nestelen via kwetsbaarheden in het SMB-protocol van Windows (onder andere de ETERNALBLUE-exploit).

Naast WannaCry en Adylkuzz is het niet helemaal duidelijk welke malware nog meer op grote schaal gebruik heeft gemaakt van de DoublePulsar backdoor.

WannaCry ransomware

WannaCry is ransomware die via DoublePulsar of de ETERNALBLUE-exploit een systeem binnendringt en alle bestanden op een Windows-computer versleutelt. Eenmaal besmet, verspreidt de ransomware zich over alle computers in het lokale netwerk.

Om de bestanden te ontsleutelen, moet minimaal 300 dollar overgemaakt worden naar het Bitcoin-account van de hackers achter de WannaCry ransomware. Of dit daadwerkelijk helpt, is nog niet duidelijk. Zie dit Twitter-account voor een overzicht van actuele betalingen aan de hackers.

Slachtoffers van WannaCry zijn bijvoorbeeld ziekenhuizen in Engeland, die door de aanval afspraken en operaties moesten uitstellen. Parkeeronderneming Q-Park is ook getroffen, waardoor onder andere Nederlandse klanten niet meer konden betalen. Ook spoorwegmaatschappij Deutsche Bahn, postbedrijf FedEx en autofabrikanten Nissan en Renault zijn de dupe geworden.

Adylkuzz malware

Adylkuzz is malware die duizenden kwetsbare computers met elkaar verbindt om virtueel geld (cryptocurrency) genaamd Monero te maken. Uit informatie van IT-beveilingsbedrijf Proofpoint blijkt dat deze malware meer computers dan WannaCry heeft besmet en waarschijnlijk al sinds 24 april actief is.

Het maken van virtueel geld kost met één computer enorm veel tijd. Met een netwerk van duizenden computers wordt dit proces versneld en levert het veel geld op voor de hackers.

Net als WannaCry maakt deze malware gebruik van de ETERNALBLUE-exploit en de DoublePulsar backdoor om een computer binnen te dringen. In tegenstelling tot WannaCry, die alle bestanden versleutelt, draait Adylkuzz in de achtergrond en heeft een gebruiker niets door.

Om in het geheim te blijven werken voorkomt Adylkuzz dat andere malware, zoals WannaCry, een computer besmet. Dit is waarschijnlijk de reden geweest dat deze malware nu pas is opgemerkt.

UIWIX ransomware

UIWIX is naast WannaCry een nieuwe vorm van ransomware die gebruikmaakt van de ETERNALBLUE-exploit. In tegenstelling tot zijn voorganger zijn er een paar verschillen. Zo wordt de ransomware direct vanuit het geheugen uitgevoerd (fileless infection). Dit maakt het moeilijk voor beveilingssoftware om UIWIX te detecteren en versleuteling te voorkomen.

Daarnaast beschikt deze ransomware niet over een noodstop en bedraagt het losgeldbedrag 200 euro in plaats van 300 euro.

BlueDoom of EternalRocks worm

BlueDoom is een nieuwe worm die in tegenstelling tot eerdere malware gebruikmaakt van meerdere kwetsbaarheden om zich in een systeem te nestelen. Naast ETERNALBLUE zijn in de code de volgende exploits en tools gevonden: ETERNALCHAMPION, ETERNALROMANCE, ETERNALSYNERGY, DoublePulsar, ArchiTouch en SMBTouch. Met dit arsenaal aan exploits is er een kans dat de verspreiding van BlueDoom sneller verloopt dan bijvoorbeeld de verspreiding van de WannaCry ransomware.

BlueDoom is geen ransomware en versleutelt geen bestanden in ruil voor losgeld. Het is waarschijnlijk dat de worm als opstap dient voor het vergemakkelijken van toekomstige aanvallen. De worm beschikt niet over een noodstop en kan een activatie 24 uur lang uitstellen.

XData ransomware

Oekraïne heeft tot nu toe weinig last gehad van aanvallen mede mogelijk gemaakt door de lekken van The Shadow Brokers. Maar dat is veranderd met een nieuwe vorm van ransomware, genaamd XData, die het voornamelijk op dit land gemunt heeft.

Het is nog onduidelijk welke exploits gebruikt worden voor deze ransomware. Ook opmerkelijk is dat het losgeldbedrag onduidelijk is. Dit kan betekenen dat het per slachtoffer zal verschillen. Een toekomstige tool om data te ontsleutelen zonder losgeld te betalen lijkt bij deze specifieke ransomware uitgesloten.

NotPetya

Tientallen grote organisaties op globaal niveau zijn het slachtoffer geworden van een nieuwe ransomware-aanval die zich voornamelijk richt op het bedrijfsleven. Bekijk in de onderstaande tijdlijn (27 juni 2017) een overzicht van belangrijke getroffen organisaties.

Aanvankelijk werd gedacht dat deze ransomware gebaseerd is op de in begin 2016 ontdekte Petya-ransomware. Beveilingsbedrijf Kapersky trekt dit in twijfel en ziet het als een geavanceerdere vorm van ransomware die gebruikmaakt van aanvullende aanvalstechnieken. Daarom draagt het nu de naam NotPetya.

De (onbekende) makers van de ransomware lijken weinig interesse te hebben in het innen van losgeld. De betaalmethode is amateuristisch opgezet en strookt niet met de professionele uitwerking van de ransomware zelf. Zo wordt er voor betalingen van losgeld gebruiktgemaakt van een e-mailadres dat enkele uren na de aanval geblokkeerd is door de desbetreffende e-mailprovider Posteo. Getroffen bedrijven hebben hierdoor geen mogelijkheid meer om het losgeld van 300 dollar te betalen om vervolgens hun bestanden te ontsleutelen.

De aanval lijkt te zijn gestart in Oekraïne via een update van de veelgebruikte accountancysoftware MeDoc. Naast deze weg heeft NotPetya zich ook op andere manieren weten te nestelen in bedrijfscomputers van andere landen.

  • Zo worden ook de kwetsbaarheden ETERNALBLUE en ETERNALROMANCE ingezet (afkomsting uit het lek van The Shadow Brokers) om systemen te infecteren die nog niet voorzien zijn van de MS17-010 update.

  • Daarnaast wordt er een tool gebruikt die gelijkenissen toont met het bekende Mimikatz om inloggegevens te onderscheppen en zo toegang te verschaffen tot het administratoraccount van een gebruiker.

Eenmaal binnengekomen worden de Windows-tools PSEXEC en WMIC gebruikt om andere computers binnen een netwerk te infecteren. Het maakt daarbij niet uit of de andere computers over de MS17-010 update beschikken. Een uur na infectie wordt elk systeem herstart en start de versleuteling van alle gegevens. Ook wordt de Master File Table versleuteld, wat de gehele harde schijf onbruikbaar maakt.