image

Onderzoeker: Petya-ransomware moest schade veroorzaken

woensdag 28 juni 2017, 11:14 door Redactie, 7 reacties

De Petya-ransomware die bedrijven gisteren wereldwijd infecteerde is ontwikkeld om schade aan te richten en niet om geld te verdienen. Dat laat de beveiligingsonderzoeker met het alias The Grugq in een artikel op Medium weten. De onderzoeker wijst naar de complexiteit van de worm die zich als een variant van de Petya-ransomware voordoet.

Ondanks de complexiteit wordt er van slechts één bitcoin-adres en één e-mailadres gebruikgemaakt. Verder wordt er een lange, complexe code gebruikt die slachtoffers naar het ene e-mailadres moeten mailen om hun decryptiesleutel te ontvangen. Een zeer omslachtige methode. Daarnaast werd het opgegeven e-mailadres al snel geblokkeerd, wat volgens The Grugq te verwachten was. De gebruikte betaalmethode is dan ook een slechte keuze als het doel was om geld te verdienen, maar daar twijfelt de onderzoeker aan.

"Hoewel er veel code wordt gedeeld, was de echte Petya een criminele onderneming bedoeld om geld te verdienen. Deze versie is zeker niet ontwikkeld om geld te verdienen. Het is ontwikkeld om zich snel te verspreiden en schade aan te richten onder de dekmantel van "ransomware"", aldus The Grugq. Hij wijst erop dat de malware zich verspreidde via de updateservers van MeDoc. De gelijknamige boekhoudsoftware is verplicht voor alle organisaties die belasting in Oekraïne betalen.

Een aanval die vanaf MeDoc werd uitgevoerd zou dan ook niet alleen de Oekraïense overheid raken, maar ook veel buitenlandse investeerders en bedrijven, merkt de onderzoeker op. Hij wijst verder naar de infectie bij de Russische oliegigant Rosneft. Het bedrijf maakt geen gebruik van MeDoc, maar raakte toch besmet. Toch kon de malware zonder verstoringen aan de systemen worden opgelost. "Een wonder", zegt The Grugq. Ook onderzoeker Kevin Beaumont liet gisteren weten dat de ransomware niet ontwikkeld was om geld te verdienen.

Reacties (7)
28-06-2017, 11:25 door [Account Verwijderd]
[Verwijderd]
28-06-2017, 11:26 door Anoniem
"Hij wijst erop dat de malware zich verspreidde via de updateservers van MeDoc. De gelijknamige boekhoudsoftware is verplicht voor alle organisaties die belasting in Oekraïne betalen."

Nou en dan zijn er hier al mensen die zeuren als de overheid een document in Word format publiceert...
28-06-2017, 12:19 door Anoniem
zoveel knappe dingen doen, zoals het infecteren van een software-update-server, en dan een mailadres koppelen aan een bitcoinwallet.

dit is gewoon een oekraine-kapotmaker met collateral damage.
28-06-2017, 12:46 door Anoniem
Bitcoin betalingen zijn voor de meeste cybercriminelen de makkelijkste manier om het geld te ontvangen. Als je dan vast zit aan een bootloader dan kun je niet veel anders dat "het lange nummer" te publiceren. Een QR-code kun je daar simpelweg niet tevoorschijn toveren (kan het wel, dan ben ik benieuwd hoe simpel dat is).

Wat betreft het gebruik van een statisch adres: het zorgt er in ieder geval voor dat de malware niet eerst een C&C hoeft te contacteren. Dus minder netwerkverkeer == minder kans om ontdekt of geblokkeerd te worden (hallo domainnaam Wannacry).
28-06-2017, 13:36 door Anoniem
" Hij wijst verder naar de infectie bij de Russische oliegigant Rosneft. Het bedrijf maakt geen gebruik van MeDoc, maar raakte toch besmet. Toch kon de malware zonder verstoringen aan de systemen worden opgelost. "Een wonder", zegt The Grugq."

Doelt de onderzoeker met gebruik van ironie hier op?
https://www.wired.com/story/russian-hackers-attack-ukraine/
28-06-2017, 13:47 door Anoniem
Het advies om SMBv1 uit te zetten is natuurlijk goed voor Windows maar wat te denken van alle andere SMBv1 gebruikers? Zoals WindowsCE. MS geeft hiervoor geen updates uit, en dus moeten de servers waar deze embedded kastjes mee communiceren SMBv1 blijven toestaan. Sterker nog, je kunt niet eens naar W10 deze herfst aangezien SMBv1 dan helemaal weg is. Dus één gat is gedicht, twee zwakheden blijven open...
28-06-2017, 21:57 door Anoniem
Dus: Wie heeft er belang bij om Oerkaine te treffen en wie heeft sinds kort geen werk meer?
Jan Roos.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.