Petya-aanval aast niet op geld maar op chaos
Nu securitybedrijven massaal de malware onderzoeken die de voorbije dagen bedrijven lamlegde, rijst het vermoeden dat het hier niet over een ransomware ging, maar iets veel destructievers.
De cyberaanval die de voorbije dagen aan sneltempo de wereld rondging en door onderzoekers de naam ‘NotPetya’ heeft meegekregen, zou dan toch geen ransomware zijn. Volgens analyse door Matt Suiche van cybersecuritybedrijf Comae meldt de software dan wel dat gebruikers hun bestanden terug kunnen krijgen door 300 dollar te betalen, het lijkt nooit de bedoeling geweest om die belofte ook na te komen.
Dat slachtoffers hun bestanden niet terug zouden krijgen, bleek al snel toen het e-mailadres waarnaar ze moesten mailen geblokkeerd werd. De meeste ransomwares maken een unieke bitcoinwallet voor elke infectie, zodat ze meteen weten welke gebruikers betaald hebben, en hen zo de sleutels kunnen sturen om hun bestanden te decrypteren. Deze nieuwe infectie doet dat niet. Alle slachtoffers werden gevraagd om 300 dollar naar een dezelfde wallet te sturen, en dan een mail met een unieke code naar een Posteo-mailadres te sturen om te bewijzen dat ze betaald hadden. Posteo heeft ondertussen dat e-mailadres geblokkeerd met de melding dat het zijn platform niet laat misbruiken.
Ransomware als dekmantel
Over het algemeen is NotPetya een veel geavanceerder stuk malware dan de eerdere WannaCry, maar het ‘ransomware’ deel van de software is extreem amateuristisch, zeggen onderzoekers. Daardoor kwam al snel het vermoeden dat die ransomware vooral een dekmantel was. Suiche zegt nu bewijs gevonden te hebben dat de makers nooit de intentie hadden bestanden terug te geven. Volgens hem is de malware een ‘wiper’, gemaakt om computers volledig te wissen, niet te versleutelen.
Dat schrijft hij in een blogpost. Het wordt ondertussen ook bevestigd door Kaspersky. Suiche meldt dat het originele Petya wel degelijk als ransomware ontworpen is, maar dat deze ‘NotPetya’ een ander doel nastreeft. “We zien dat de huidige versie van Petya duidelijk herschreven werd om een wiper te zijn, niet om als echte ransomware te functioneren”, zegt hij in de blog. Het virus vernietigt gewoon de harde schijf van de computers waarop het terecht komt.
Waarom dan die malwareschermen? Daar zijn onderzoekers nog niet uit, maar Suiche vermoedt dat het een poging was om meer media-aandacht te krijgen. Iets dat bij deze ook gelukt is. Het virus maakte vooral schade in Oekraïne, waar het een elektriciteitsleverancier, de centrale bank, het nationale telecombedrijf en een luchthaven platlegde.
Fout opgemerkt of meer nieuws? Meld het hier