最新のPetya/NotPetya/GoldenEyeランサムウェアの発生の背後にある理由は何でしたか? 今週のマルウェアの大惨事を取り巻く状況を考える, セキュリティ研究者は、キャンペーンが最初に起こった理由を理解するのに苦労してきました. その背後にいたのは誰ですか? ペティア / GoldenEyeの攻撃は、主にウクライナの組織を危険にさらしました, しかし、他の国も同様に打撃を受けました. およその企業 60 影響を受けた国. さらなる分析はまた、攻撃がその真の目的を隠すためにランサムウェアのふりをしたことを示しています.
ランサムウェアになりすましたマルウェアには多くの名前があります – Petya / NotPetya / ゴールデンアイ / PetrWrap / ExPetr
ここで最初に言及するのは、研究者がこの条件付きで呼ばれるランサムウェアにさまざまな名前を付けていることです. それは確かにかなり混乱しています. 以前に知られているPetyaランサムウェアとの類似点をすぐに見た一部の研究者は、これがもう一度Petyaであると単純に述べました. でも, 他の研究者はそれをNotPetyaと呼んでいます, またはGoldenEye, Petyaの変種.
すでに 書きました, Petya / GoldenEyeは、主にウクライナをターゲットにしていると報告されています, しかし、マルウェアはすぐに世界中に広がりました. ランサムウェアは、ハードドライブ上のすべてのファイルとドライブ自体のMBRを暗号化します, 身代金を支払ってもファイルを復元することは事実上不可能です.
ランサムウェアの作者でも解読不可能
Kasperskyの研究者は、このランサムウェアの暗号化は、支払いが行われた場合でも、, マルウェアの作成者はハードドライブを復号化できません, 彼らがしたかったとしても. 同じ研究者は、PetrWrapとして知られているPetyaバリアントと他の類似点を発見しました, 3月に組織を攻撃していた. 彼らはランサムウェアExPetrを吹き替えました, それを説明する:
マスメディアの最初の出版物は、新しいマルウェアが有名な悪意のあるプログラムWannaCryとPetyaに関連していると述べました. でも, Kaspersky Labの調査によると、これはPetrWrapとわずかに類似した新しいマルウェアです。 (Petyaの変更), しかし、おそらくそれとは関係がありません. これを「ExPetr」と呼びます, これはPetrWrapではないことを強調する.
その名前が何であれ, 私たちは皆、1つのことに同意します。ランサムウェアは、グローバルレベルでストレスの多い混乱を引き起こすことに再び成功しました。. そのため、研究者は、何が起こったのかを概説する目的で、さまざまな情報とデータを結び付け始めました。, そしてもっと重要なのは–なぜ.
Petyaの背後にある動機 / NotPetya / ゴールデンアイの攻撃
一部の研究者は、この悪意のあるキャンペーンの動機と理由を特定することは非常に困難であると述べています. それにもかかわらず, 調査に役立ついくつかの要因があります.
最初に気付くのは、ウクライナが発生の主要な標的の1つであったということです。. ウクライナでは、多面的なランサムウェアがMeDocを介して拡散していました, 国内で人気のある会計ソフト. セキュリティ研究者 明らかに 攻撃者が会社のコンピュータシステムを侵害したようで、ソフトウェアアップデートを標的にすることができたのは6月に顧客にプッシュされました 22. この単一のイベントが発生につながった可能性があります.
一方で, ロイターは 指摘した 以下:
今週ウクライナから世界中に蔓延した壊滅的なコンピュータウイルスの主な標的は、その国のコンピュータインフラストラクチャであった可能性が高いです。, ウクライナの最高警察官は木曜日にロイターに語った.
ますます多くの研究者が、攻撃の主な目的はウクライナの政府機関および企業のマシンに新しいマルウェアをインストールすることであると考えています. キャンペーン全体の目的は、標的を恐喝することではなく、将来の攻撃のために種を蒔くことであった可能性があります.
金銭的利益が攻撃の意図ではなかったことは明らかです. さらに, マルウェアはマスターブートレコードを上書きするように設計されています (MBR) ファイル拡張子のリストに一致する個々のファイルを暗号化します. 身代金の額, $300 ビットコインで, また、十分ではありません, そして何が悪いのか, それを支払うことは犠牲者のファイルを取り戻すことはありません. 研究者が言うことは、ペティアは / ゴールデンアイ / NotPetyaはランサムウェアのふりをしますが、実際には別のものです. また、その背後にある脅威アクターが意図的に復号化を不可能にしたと考えられています.
攻撃の主な目的ではなく、身代金の支払いを収集する
攻撃者がランサムウェアの開発と拡散に多くのエンジニアリングを費やしたが、被害者に身代金を支払わせるためにほとんど何もしなかったことは興味深いことです。. 本当にランサムウェアだったら, 身代金の支払いを集めることは、全体の操作の主な目的であるべきでした.
カスペルスキー分析も最近 明らかに それ以上 50% 多面的なランサムウェアに攻撃された企業のうち、産業企業は.
さらに, 攻撃された最初の組織は、空港などの重要なインフラストラクチャに属していました, ガス会社, 公共交通機関, 等.
組織を犠牲にしてホームユーザーがそのような規模で攻撃されなかったという事実は、脅威アクターのアジェンダについて多くを語っています.
ほとんどの研究者は、攻撃は私たちが取り巻く脆弱性に気づかせようとしているハクティビストによって行われたと信じています, または彼らのトラックをカバーしようとしている国民国家のハッカー. WannaCryの別の発生であると世界に信じ込ませるための最も説得力のある便利な方法は、1つのように見せることです。.