Losgeldbrief opgedoken voor (Not)Petya

Els Bellens
Els Bellens Technologiejournaliste bij Data News

Een week nadat een aanval met (Not)Petya malware enkele bedrijven lamlegde, is op het dark web een losgeldbrief opgedoken. De vermoedelijke hackers vragen 100 bitcoin, of zo’n 230.000 euro, voor een decryptiesleutel.

De saga van (Not)Petya blijft maar duren. Een hackersgroep genaamd ‘GoldenEye’ heeft nu zijn eerste publieke mededeling gedaan omtrent de aanval. De groep postte een losgeldbrief op het dark web, de anonieme onderbuik van het internet. In het bericht vragen ze 100 bitcoin, omgerekend 230.000 euro, voor een sleutel die bepaalde bestanden zou kunnen vrijgeven die door Petya werd geëncrypteerd.

De malware-aanval ging vorige week de wereld (maar toch vooral Oekraïne) rond, en maakte onder meer slachtoffers bij grote bedrijven zoals FedEx, Merck, Cadbury en AP Moller-Maersk. Het zijn bedrijven die wel wat geld waard zijn, waardoor het des te gekker is dat het eigenlijke losgeldgedeelte van de malware zo amateuristisch overkwam. Het scherm vroeg 300 dollar per geïnfecteerde computer en gebruikte een mailadres dat vrijwel meteen onbereikbaar werd. Als snel doken ook berichten van onderzoekers op als zou Petya geen ransomware zijn, maar een ‘wiper’. Bedoeling van de infectie zou dus niet zijn om bestanden te versleutelen en tegen betaling terug te geven, maar om zo veel mogelijk schade aan te richten.

Toch echt?

De schrijvers van de losgeldbrief lijken alvast de mensen te zijn die ook achter de aanval zitten. Bij de losgeldbrief zit een signature voor de private sleutel die echt lijkt te zijn. “Dat betekent dat wie dit bericht postte, een private sleutel heeft om data te ontsluiten die door NotPetya malware werden geëncrypteerd,” vertelt Anton Cherpanov, senior malware researcher voor ESET aan de zakenkrant Forbes. ESET is een van de securitybedrijven die de signature onderzochten op echtheid. Hij vertelt er meteen bij dat die sleutel wel bestanden kan decrypteren maar geen boot disks. Petya-software versleutelt beide, maar gebruikt een andere encryptiemethode voor boot disks. Bedrijven die betalen, zijn dus nog lang niet zeker dat ze hun toestellen ook echt terugkrijgen.

De nieuwe ontwikkelingen geven dus een sprankeltje hoop, maar onderzoekers blijven voorzichtig. Er wordt al even vermoed dat de hele ransomware-saga vooral een facade is voor een aanval van Russische staatshackers op de infrastructuur van Oekraïne. Het gevraagde losgeld zou in die theorie vooral de bedoeling hebben om de aandacht af te leiden richting ‘gewone’ cybercriminelen. De hoge prijs die nu voor de sleutel wordt gevraagd, doet ook vermoeden dat het de hackers misschien niet echt menens is met die decryptie. Het is ondertussen nog niet duidelijk of iemand al betaald heeft. Er zijn alvast nog geen rapporten opgedoken van bitcointransacties in die grootorde.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content