Is de NotPetya-ransomware een vermomming voor een gerichte aanval?
Beveiligingsexperts vinden steeds meer details over de grootschalige ransomware-aanval van deze week. Eerder raakte al bekend dat het niet ging om de gekende ransomware Petya, maar een variant hiervan die door de experts NotPetya werd gedoopt. Nu blijkt dat NotPetya wel eens iets anders dan ransomware zou kunnen zijn. In plaats van bestanden te versleutelen zodat deze na betaling weer kunnen worden gedecrypteerd, wist NotPetya de harde schijf van zijn slachtoffers volledig. Zelfs wanneer je betaalt, krijg je je bestanden niet meer terug.
Wiper
“Petya.2017 is een wiper, geen ransomware. De ransomware was een lokmiddel voor de media, deze versie van Petya wist echter de eerste secties van een schijf, zoals we eerder zagen bij malware zoals Shamoon,” schrijft Matt Suiche van Comae.
In zijn blogpost doet Suiche uit de doeken hoe een belangrijk deel van de gekende ransomware Petya is veranderd bij de recente aanval, waardoor het niet langer ransomware betreft. “Na beide implementaties te hebben vergeleken, merkten we dat de huidige implementatie die verschillende entiteiten in Oekraïne besmette daadwerkelijk een wiper is die de eerste 25 sectorblokken van een schijf wist. 2016 Petya verandert de schijf op zo’n manier dat de veranderingen ongedaan konden worden gemaakt. 2017 Petya brengt echter permanente schade toe aan een schijf,” aldus Suiche.
Oekraïne
Niet alleen het gedrag van de malware, maar ook de verspreiding van slachtoffers roept vraagtekens op. NotPetya wist zich een weg te banen tot onze contreien, maar maakte de meeste slachtoffers in Oekraïne, waar ook de eerste slachtoffers vielen. Verschillende beveiligingsexperts vermoeden daarom dat NotPetya slechts vermomd is als ransomware en in werkelijkheid een gerichte aanval op Oekraïne is. Indien je belangrijke instellingen van een land kunt treffen met een wiper, kan je dat land volledig platleggen.
[related_article id=”171230″]
Bij deze aanval werden daadwerkelijk alle belangrijke organisaties van Oekraïne slachtoffer van NotPetya, gaande van de nationale luchthaven tot Tsjernobyl. Hierdoor vermoeden beveiligingsexperts dat de malware niet het werk is van een hackercollectief, maar een nationale organisatie. Rusland, die een deel van Oekraïne annexeerde en de belangrijkste verdachte achter een eerdere cyberaanval tegen het land is, zou wel eens achter de allesvernietigende software kunnen zitten.
Verdacht
Hard bewijs dat Rusland – of een ander land – achter de aanval van deze week zat, is er echter niet. Het zou kunnen dat computers in Oekraïne gewoon minder goed beschermd zijn dan in andere landen, waardoor ze eenvoudig besmet geraakten. Toch lijkt alles erop te wijzen dat er meer aan de hand is dan op het eerste zicht lijkt. Indien een groep hackers geld proberen te verdienen met behulp van ransomware, zouden de betaal- en decryptiemethodes immers het belangrijkste onderdeel van de software zijn, wat nu niet het geval is.
De betaalmethode van NotPetya is erg omslachtig en hangt af van één e-mailadres dat kort na de aanval werd geblokkeerd. Slachtoffers hebben hierdoor geen enkele manier om contact op te nemen met de cybercriminelen, waardoor betalen nutteloos is. Dat de Bitcoin wallet slechts 10.000 dollar bevat – een erg magere opbrengst voor ransomware – is dan ook geen toeval. De opbrengst lijkt voor de cybercriminelen een bijkomstigheid te zijn, met als hoofddoel een gerichte aanval op Oekraïne.