Analyse: NotPetya Ransomware-angreb (2017)
I juni 2017 blev verden vidne til det, der af mange eksperter betegnes som det mest ødelæggende cyberangreb i historien. NotPetya startede som et tilsyneladende ransomware-angreb rettet mod Ukraine, men spredte sig lynhurtigt globalt og forårsagede skader for over 10 milliarder dollars.
Hvad skete der?
Angrebet blev maskeret som ransomware, men det viste sig hurtigt at være en wiper – et destruktivt program designet til at slette data permanent frem for at afpresse penge. Det blev leveret via en kompromitteret opdatering til det ukrainske regnskabsprogram MeDoc, som næsten alle virksomheder i Ukraine benytter.
Angrebet ramte store globale spillere som:
- Maersk: Verdens største rederi fik lagt hele deres IT-infrastruktur ned på få minutter.
- Merck: Den amerikanske medicinalgigant mistede adgang til kritiske systemer.
- FedEx (TNT Express): Led store økonomiske tab grundet driftsforstyrrelser.
Sårbarheden og Spredningen
NotPetya var ekstremt effektivt, fordi det kombinerede to kraftfulde metoder til spredning:
- EternalBlue: En sårbarhed i Windows’ SMB-protokol (oprindeligt udviklet af NSA og lækket af Shadow Brokers), som gjorde det muligt for koden at sprede sig automatisk mellem computere på samme netværk.
- Mimikatz: Et værktøj brugt til at udtrække kodeord fra hukommelsen (RAM), hvilket tillod malwaren at logge ind på andre maskiner med legitime administrator-rettigheder.
Denne kombination betød, at hvis blot én computer på et netværk blev ramt, blev hele virksomhedens infrastruktur inficeret i løbet af få minutter.
Læringspunkter for IT-sikkerhed
NotPetya ændrede fundamentalt synet på cyberrisiko i globale forsyningskæder:
- Patch Management: Selvom Microsoft havde udgivet en rettelse til EternalBlue måneder før, var mange systemer stadig ikke opdaterede.
- Supply Chain Risk: Angrebet viste, hvordan en lille softwareleverandør (MeDoc) kan være den trojanske hest, der rammer hele verden.
- Netværkssegmentering: Uden ordentlig segmentering kunne malwaren frit bevæge sig på tværs af globale kontorer og afdelinger.
- Offline Backups: Virksomheder med offline eller “air-gapped” backups var de eneste, der hurtigt kunne genoprette driften.
MITRE ATT&CK Referencer
NotPetya var et komplekst angreb, der benyttede flere kendte teknikker:
- T1195.002 - Supply Chain Compromise: Software Dependencies: Indtrængen via det ukrainske regnskabsprogram MeDoc.
- T1210 - Exploitation of Remote Services: Brug af EternalBlue (SMBv1 exploit) til lateral spredning.
- T1003 - OS Credential Dumping: Mimikatz til at stjæle administrator-passwords fra hukommelsen.
- T1485 - Data Destruction: Selvom det lignede ransomware, var det ultimative mål destruktion af data (Wiper).
Denne analyse er en del af serien “Analyser af cyberangreb”, hvor vi kigger på historiske hændelser for at lære af fortidens fejl.
> Quiz: Test din viden
1. Hvad var NotPetya egentlig designet til (ikke afpresning)?
2. Hvilke to redskaber kombinerede NotPetya til at sprede sig?
3. Hvad bruges Mimikatz til?
4. Hvad manglede de ramte virksomheder, som tillod hurtig spredning på tværs af kontorer?