SecurityHiveSecurityHive logo
Hack in practice: The NotPetya attack on Maersk

Hack in de praktijk: De NotPetya Aanval op Maersk

By Terrence Risse
 | 
March 3, 2023

In deze serie wil ik periodiek stilstaan bij een hack in de praktijk. Hierbij zal ik steeds een gebeurtenis onderzoeken, uitlichten en vooral niet onbelangrijk, bespreken wat we hiervan kunnen leren. Dit is niet alleen leerzaam voor het grotere publiek, maar biedt mij ook de mogelijkheid om meer te leren over het security vakgebied. De aanval is overigens de beste verdediging :)!

In dit eerste artikel wil ik direct groots aftrappen met de 'NotPetya-aanval' uit 2017, die voor velen wellicht bekend is.

Het artikel van Wired doet haast denken aan een film. Wat begon als een gewone dag op het hoofdkantoor van Maersk in Kopenhagen, veranderde al snel in een nachtmerrie toen de systemen van het bedrijf werden gegijzeld door een ransomware-aanval.

De aanval verspreidde zich als een lopend vuurtje door de systemen van Maersk, waardoor de operationele activiteiten van het bedrijf stil kwamen te liggen. Schepen konden niet meer worden geladen of gelost, terminals waren buiten werking, vrachtwagens stonden stil en communicatiesystemen waren platgelegd. Het duurde weken voordat de systemen van Maersk weer volledig operationeel waren.

De kosten van de aanval waren enorm. Maersk schatte de schade op bijna 300 miljoen dollar. Naast de directe kosten van het herstellen van de systemen en het verlies van inkomsten tijdens de aanval, heeft de aanval ook het vertrouwen van klanten en investeerders in het bedrijf aangetast.

Wat is NotPetya?

Zoals de naam al doet vermoeden, verwijst NotPetya naar Petya, die in 2017 werd ontdekt en veel gemeen heeft met de bekende ransomware 'Wannacry'. Het grote verschil is echter dat de groep achter NotPetya niet uit was op geld verdienen, maar om zoveel mogelijk schade aan te richten. Daarom lijkt NotPetya meer op een wiper dan op ransomware, aangezien de data bij voorbaat al werd gewist.

Hoe zijn ze binnengekomen?

Het NotPetya-virus is waarschijnlijk binnengekomen in de systemen van Maersk via een zogenaamde 'Supply Chain Attack', door middel van een software-update van een Oekraïens belastingboekhoudprogramma genaamd M.E.Doc, dat veel werd gebruikt door bedrijven in Oekraïne. De aanvallers hebben het software-update mechanisme van M.E.Doc gecompromitteerd en het NotPetya-virus ingebracht in de legitieme update, die vervolgens naar alle gebruikers van het programma werd verspreid. Aangezien de Oekraïense tak van Maersk ook M.E.Doc gebruikte, kon het virus hun systemen infiltreren toen zij de update installeerden. Eenmaal binnen verspreidde het virus zich snel door het wereldwijde netwerk van Maersk, waarbij bestanden werden versleuteld en de systemen van het bedrijf onbruikbaar werden gemaakt.

Hoe werd het verpreid?

Het NotPetya-virus verspreidde zich snel over het Maersk-netwerk vanwege verschillende redenen:

  • Ten eerste was het virus ontworpen om zich te verspreiden via beveiligingslekken in Windows, waardoor het in staat was om zichzelf te repliceren en te verspreiden zonder menselijke tussenkomst. Hierbij maakte zij gebruik van de kwetsbaarheden MS17‑010, CVE-2017-0144, en CVE-2017-0145. Hierbij werd vooral gebruik gemaakt van server message block (SMB)

  • Ten tweede gebruikte het virus gestolen inloggegevens van geïnfecteerde machines om toegang te krijgen tot andere computers op het netwerk.

  • Ten derde waren de systemen van Maersk slecht beveiligd, waardoor het virus gemakkelijker toegang kon krijgen tot andere delen van het netwerk.

Hoe is het opgelost?

In de eerste dagen na de aanval ging Maersk over op manuele processen om zijn klanten te kunnen blijven bedienen. Dit betekende dat de medewerkers op kantoor terugvielen op papier en pen om alle transacties en klantverzoeken te verwerken. Dit was een enorme uitdaging en vergde veel geduld en toewijding van het personeel.

Maersk bracht vervolgens de getroffen IT-systemen terug online door middel van back-ups en het heropbouwen van de systemen. Dit was een langdurig en gecompliceerd proces, waarbij elke applicatie en database moest worden gecontroleerd en hersteld.

Maersk heeft ook veel geïnvesteerd in het versterken van zijn cyberbeveiliging. Ze hebben hun IT-infrastructuur opnieuw ontworpen en hun beveiligingsmaatregelen verbeterd om te voorkomen dat een soortgelijke aanval in de toekomst plaatsvindt.

Het duurde maanden voordat Maersk volledig was hersteld van de NotPetya-aanval, maar het bedrijf heeft geleerd van de ervaring en heeft sindsdien stappen ondernomen om hun cyberbeveiliging te versterken.

Wat kunnen we ervan leren?

Hieronder staan enkele van de belangrijkste lessen die kunnen worden getrokken uit de aanval. Het is echter belangrijk op te merken dat dit niet alle lessen zijn die kunnen worden geleerd uit deze situatie. Voor mij persoonlijk zijn dit echter de meest belangrijke lessen.

  • Patch Management: Maersk heeft toegegeven dat hun patch management niet op orde was, waardoor ze kwetsbaar waren voor de NotPetya-aanval. Hoewel het bedrijf in het verleden regelmatig software-updates en patches had geïnstalleerd, had het de patch voor de specifieke kwetsbaarheid die NotPetya gebruikte, nog niet geïnstalleerd. Hierdoor waren hun systemen vatbaar voor aanvallen.

  • Back-ups: Maersk had wel back-ups gemaakt van hun systemen, maar deze waren niet up-to-date en werden niet bewaard op een afgezonderde locatie. Dit maakte het herstelproces na de aanval moeilijker en tijdrovender dan het had moeten zijn.

  • Network Segmentation: Maersk had hun netwerk niet op de juiste manier opgesplitst, wat de aanvaller in staat stelde om van het ene systeem naar het andere te gaan en schade aan te richten aan meerdere systemen en afdelingen.

  • Software-integriteit: Hoewel het niet 100 procent zeker is, is het mogelijk dat het werd geleverd via een vervalste software-update. Dit benadrukt het belang van het verifiëren van de authenticiteit van software en ervoor te zorgen dat het wordt gedownload van een vertrouwde bron.

Hoewel het gemakkelijk is om Maersk de schuld te geven van het feit dat ze niet in staat waren om de aanval te stoppen, is het belangrijk om te erkennen dat cybercriminaliteit een steeds groter wordend probleem is dat bedrijven van elke omvang treft. Het is onmogelijk om jezelf volledig te beschermen tegen dit soort aanvallen, maar er zijn altijd stappen die je kunt nemen om jezelf beter te beschermen.

We kunnen allemaal leren van de situatie van Maersk en ons bewust worden van de ernstige dreiging die cybercriminaliteit vormt voor bedrijven en individuen. In plaats van de schuld te geven, moeten we samenwerken om betere manieren te vinden om ons te beschermen en ons vermogen om te reageren op toekomstige aanvallen te verbeteren. Met een gecoördineerde en gezamenlijke inspanning kunnen we allemaal bijdragen aan het creëren van een veiligere digitale omgeving.

Scan nu jouw omgeving