"Petya-ransomware ontwikkeld om gegevens te wissen"
De Petya-ransomware die wereldwijd systemen van organisaties infecteerde is geen echte ransomware, maar een "wiper" die als doel heeft om gegevens te wissen. Dat melden het Russische anti-virusbedrijf Kaspersky Lab en Comae Technologies, een securitybedrijf uit de Verenigde Arabische Emiraten.
Petya versleutelt zowel bestanden als de MFT (Master File Table) en de MBR (Master Boot Record) van de harde schijf. Daardoor kan Windows niet meer worden gestart. Slachtoffers krijgen een melding te zien dat ze een installatie-ID naar een opgegeven e-mailadres moeten mailen om de decryptiesleutel te ontvangen. Dit zogenaamde installatie-ID is echter een reeks willekeurige karakters en heeft geen enkele relatie met de encryptiesleutel die is gebruikt om de gegevens te versleutelen.
Verder blijkt Petya 24 sector blocks van de harde schijf opzettelijk te overschrijven, zonder die ergens anders op te slaan. Een opmerkelijk detail, aangezien de originele versie van Petya die vorig jaar verscheen de harde schijf op zo'n manier aanpaste dat aangepaste sector blocks wel konden worden hersteld. "We kunnen zien dat de huidige versie van Petya duidelijk is herschreven om een wiper te zijn en geen ransomware", aldus Matt Suiche van Comae Technologies. In 2012 werd de Shamoon-wiper nog gebruikt om 30.000 computers van de Saoedische oliegigant Saudi Aramco te beschadigen.
Volgens Suiche moest het ransomware-gedeelte als dekmantel fungeren. Eerder kwam een beveiligingsonderzoekers met het alias The Grugq al met de conclusie dat het werkelijke doel van Petya het veroorzaken van schade was, aangezien het betaalmodel slecht in elkaar zat. Zo werd het e-mailadres dat de aanvallers gebruikten om met slachtoffers te communiceren al vrij snel geblokkeerd. Slachtoffers die het gevraagde losgeld van 300 dollar betalen kunnen hun bestanden dan ook niet terugkrijgen, tenzij ze over back-ups beschikken. Inmiddels heeft het bitcoin-adres dat de aanvallers gebruiken 45 transacties ontvangen met een waarde van ruim 8900 euro.
Update
De onderzoeker met het alias MalwareTech die de killswitch voor de WannaCry-ransomware activeerde stelt dat de conclusie dat de nieuwe Petya-versie de MBR vernietigt niet klopt. Hij krijgt bijval van een onderzoekster met het alias Hasherezade, die in het verleden veel onderzoek deed naar Petya. Zij stelt dat er niet veel veranderd is tussen de GoldenEye-variant van Petya en de nu actieve versie.
begin het idee te krijgen dat de community bij iedere uitbraak een groot media offensief inzet om mensen te overtuigen dat de malware niet werkt, terwijl..... [redacted]
Ander detail. MBR van windows gebruikt een beperkt deel en de rest van de ruimte is niet in gebruik. Het schrijven op dat vrije deel is geen vernielen van de MBR.
https://twitter.com/MalwareTechBlog/status/880170234497380352
The Grugq en Suiche mogen zich samen met de media die hun verhaaltjes zonder verificatie overschrijven diep gaan schamen voor hun prioriteit voor krijgen van aandacht.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.