De Petya-ransomware die bedrijven gisteren wereldwijd infecteerde is ontwikkeld om schade aan te richten en niet om geld te verdienen. Dat laat de beveiligingsonderzoeker met het alias The Grugq in een artikel op Medium weten. De onderzoeker wijst naar de complexiteit van de worm die zich als een variant van de Petya-ransomware voordoet.
Ondanks de complexiteit wordt er van slechts één bitcoin-adres en één e-mailadres gebruikgemaakt. Verder wordt er een lange, complexe code gebruikt die slachtoffers naar het ene e-mailadres moeten mailen om hun decryptiesleutel te ontvangen. Een zeer omslachtige methode. Daarnaast werd het opgegeven e-mailadres al snel geblokkeerd, wat volgens The Grugq te verwachten was. De gebruikte betaalmethode is dan ook een slechte keuze als het doel was om geld te verdienen, maar daar twijfelt de onderzoeker aan.
"Hoewel er veel code wordt gedeeld, was de echte Petya een criminele onderneming bedoeld om geld te verdienen. Deze versie is zeker niet ontwikkeld om geld te verdienen. Het is ontwikkeld om zich snel te verspreiden en schade aan te richten onder de dekmantel van "ransomware"", aldus The Grugq. Hij wijst erop dat de malware zich verspreidde via de updateservers van MeDoc. De gelijknamige boekhoudsoftware is verplicht voor alle organisaties die belasting in Oekraïne betalen.
Een aanval die vanaf MeDoc werd uitgevoerd zou dan ook niet alleen de Oekraïense overheid raken, maar ook veel buitenlandse investeerders en bedrijven, merkt de onderzoeker op. Hij wijst verder naar de infectie bij de Russische oliegigant Rosneft. Het bedrijf maakt geen gebruik van MeDoc, maar raakte toch besmet. Toch kon de malware zonder verstoringen aan de systemen worden opgelost. "Een wonder", zegt The Grugq. Ook onderzoeker Kevin Beaumont liet gisteren weten dat de ransomware niet ontwikkeld was om geld te verdienen.
Deze posting is gelocked. Reageren is niet meer mogelijk.