"Petya-ransomware ontwikkeld om gegevens te wissen"
De Petya-ransomware die wereldwijd systemen van organisaties infecteerde is geen echte ransomware, maar een "wiper" die als doel heeft om gegevens te wissen. Dat melden het Russische anti-virusbedrijf Kaspersky Lab en Comae Technologies, een securitybedrijf uit de Verenigde Arabische Emiraten.
Petya versleutelt zowel bestanden als de MFT (Master File Table) en de MBR (Master Boot Record) van de harde schijf. Daardoor kan Windows niet meer worden gestart. Slachtoffers krijgen een melding te zien dat ze een installatie-ID naar een opgegeven e-mailadres moeten mailen om de decryptiesleutel te ontvangen. Dit zogenaamde installatie-ID is echter een reeks willekeurige karakters en heeft geen enkele relatie met de encryptiesleutel die is gebruikt om de gegevens te versleutelen.
Verder blijkt Petya 24 sector blocks van de harde schijf opzettelijk te overschrijven, zonder die ergens anders op te slaan. Een opmerkelijk detail, aangezien de originele versie van Petya die vorig jaar verscheen de harde schijf op zo'n manier aanpaste dat aangepaste sector blocks wel konden worden hersteld. "We kunnen zien dat de huidige versie van Petya duidelijk is herschreven om een wiper te zijn en geen ransomware", aldus Matt Suiche van Comae Technologies. In 2012 werd de Shamoon-wiper nog gebruikt om 30.000 computers van de Saoedische oliegigant Saudi Aramco te beschadigen.
Volgens Suiche moest het ransomware-gedeelte als dekmantel fungeren. Eerder kwam een beveiligingsonderzoekers met het alias The Grugq al met de conclusie dat het werkelijke doel van Petya het veroorzaken van schade was, aangezien het betaalmodel slecht in elkaar zat. Zo werd het e-mailadres dat de aanvallers gebruikten om met slachtoffers te communiceren al vrij snel geblokkeerd. Slachtoffers die het gevraagde losgeld van 300 dollar betalen kunnen hun bestanden dan ook niet terugkrijgen, tenzij ze over back-ups beschikken. Inmiddels heeft het bitcoin-adres dat de aanvallers gebruiken 45 transacties ontvangen met een waarde van ruim 8900 euro.
Update
De onderzoeker met het alias MalwareTech die de killswitch voor de WannaCry-ransomware activeerde stelt dat de conclusie dat de nieuwe Petya-versie de MBR vernietigt niet klopt. Hij krijgt bijval van een onderzoekster met het alias Hasherezade, die in het verleden veel onderzoek deed naar Petya. Zij stelt dat er niet veel veranderd is tussen de GoldenEye-variant van Petya en de nu actieve versie.
begin het idee te krijgen dat de community bij iedere uitbraak een groot media offensief inzet om mensen te overtuigen dat de malware niet werkt, terwijl..... [redacted]
Ander detail. MBR van windows gebruikt een beperkt deel en de rest van de ruimte is niet in gebruik. Het schrijven op dat vrije deel is geen vernielen van de MBR.
https://twitter.com/MalwareTechBlog/status/880170234497380352
The Grugq en Suiche mogen zich samen met de media die hun verhaaltjes zonder verificatie overschrijven diep gaan schamen voor hun prioriteit voor krijgen van aandacht.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
