Wat waren de redenen achter de laatste Petya / NotPetya / GoldenEye ransomware uitbraak? Gezien de omstandigheden rond malware catastrofe van deze week, security onderzoekers hebben moeite om te begrijpen waarom de campagne gebeurde in de eerste plaats. Wie was achter de rug? de Petya / GoldenEye aanval meestal aangetast organisaties in Oekraïne, maar andere landen werden ook geraakt. Ondernemingen bij ongeveer 60 landen werden getroffen. Verdere analyse toont ook dat de aanval deed ransomware zijn om het werkelijke doel verbergen.
Malware beweert te zijn Ransomware heeft vele namen – Petya / NotPetya / Gouden Oog / PetrWrap / expetis
Het allereerste wat om hier te vermelden is dat de onderzoekers deze voorwaardelijk genoemd ransomware verschillende namen hebben gegeven. Het is inderdaad nogal verwarrend. Sommige onderzoekers die zag meteen de overeenkomsten met de eerder bekende Petya ransomware alleen gezegd was dit Petya nogmaals. Echter, andere onderzoekers noemen het NotPetya, of GoldenEye, een variant van Petya.
Zoals we al schreef, Petya / GoldenEye is gemeld dat in de eerste plaats richten op Oekraïne, maar de malware verspreidde zich snel over de hele wereld. De ransomware versleutelt alle bestanden op een harde schijf en de MBR van het station zelf, waardoor het vrijwel onmogelijk voor u om uw bestanden te herstellen, zelfs als u betaalt het losgeld.
Decryptie Impossible Zelfs door Ransomware Auteurs
Onderzoekers van Kaspersky ontdekte dat de versleuteling van deze ransomware is zo ontworpen dat zelfs als een betaling wordt gedaan, de malware auteurs kan de harde schijf niet decoderen, zelfs als ze wilden. Dezelfde onderzoekers vonden de andere overeenkomsten met een Petya variant die bekend staat als PetrWrap, die aanviel organisaties maart. Ze noemde de ransomware ExPetr, uit te leggen dat:
De eerste publicaties in de media verklaard dat nieuwe malware is aangesloten op de bekende kwaadaardige programma's WannaCry en Petya. Echter, volgens Kaspersky Lab onderzoek is deze nieuwe malware met enkele lichte gelijkenissen met PetrWrap (Petya modificatie), maar waarschijnlijk met geen verband houden met deze. Wij noemen het “ExPetr”, om te benadrukken dat dit niet PetrWrap.
Ongeacht de naam is, we allemaal over een ding eens - de ransomware is er opnieuw in geslaagd in het creëren van een stressvolle puinhoop op mondiaal niveau. Daarom hebben de onderzoekers begonnen met de verschillende onderdelen van informatie en gegevens aan elkaar te plakken met als doel te schetsen wat er is gebeurd, en wat nog belangrijker is - waarom.
De motivatie achter de Petya / NotPetya / GoldenEye Attacks
Sommige onderzoekers zeggen dat het uiterst moeilijk is geweest om de motivatie en de reden voor deze kwaadaardige campagne te identificeren. Niettemin, er zijn verschillende factoren die kunnen helpen bij het onderzoek.
Het eerste wat opvalt is dat Oekraïne was een van de belangrijkste doelen in de uitbraak. In Oekraïne werd de vele gezichten ransomware verspreidt door Médoc, accounting software die populair is in het hele land. beveiliging onderzoekers onthuld dat aanvallers leken te hebben geschonden computersystemen van het bedrijf en waren in staat om een software-update te richten is op juni tot en met klanten geduwd 22. Deze enkele gebeurtenis kan hebben geleid tot de uitbraak.
Anderzijds, Reuters heeft wees erop het volgende:
De primaire doelstelling van een verlammende computer virus dat verspreid van Oekraïne over de hele wereld deze week zeer waarschijnlijk computer infrastructuur van dat land te zijn geweest, een top Oekraïense politie-functionaris zei tegen Reuters op donderdag.
Een toenemend aantal onderzoekers zijn van mening dat het belangrijkste doel van de aanval was om nieuwe malware op de overheid en het bedrijfsleven machines in Oekraïne te installeren. Het doel van de hele campagne was misschien niet het afpersen van de doelstellingen, maar het planten van de zaden voor toekomstige aanvallen.
Het is duidelijk dat financieel gewin was niet de bedoeling van de aanval. Bovendien, de malware is ontworpen om de Master Boot Record overschrijven (MBR) en coderen afzonderlijke bestanden die overeenkomen met een lijst van bestandsextensies. De hoeveelheid van het rantsoen, $300 in Bitcoin, is ook niet voldoende, en wat erger is, betalen zal de dossiers van de slachtoffers niet terug. Wat zeggen de onderzoekers is dat Petya / Gouden Oog / NotPetya pretendeert ransomware te zijn, maar is in feite iets anders. Het is ook van mening dat de dreiging acteurs achter het maakte de ontcijfering onmogelijk doelbewust.
Het verzamelen van Ransom betalingen niet het primaire doel van de aanvallen
Het is intrigerend dat de aanvallers brachten veel techniek in de ontwikkeling en de verspreiding van de ransomware maar deed bijna niets te maken slachtoffers betalen het losgeld. Als het echt een stuk van ransomware, het verzamelen van losgeld betalingen moet het primaire doel van de hele operatie zijn geweest.
Kaspersky analyse onlangs ook onthuld dat meer dan 50% van de bedrijven aangevallen door de vele gezichten ransomware zijn industriële bedrijven.
Bovendien, de eerste organisaties die werden aangevallen behoorde tot kritieke infrastructuur zoals luchthavens, gasbedrijven, openbaar vervoer, etc.
Het feit dat thuisgebruikers niet werden aangevallen op zo'n schaal ten koste van de organisaties spreekt boekdelen over de agenda van de dreiging acteurs.
De meeste onderzoekers zijn van mening dat de aanval, hetzij door een hacktivist zoeken om voorlichting aan de kwetsbaarheden zijn we omringd door te brengen werd uitgevoerd, of natiestaat hackers die hun sporen uit te wissen. De meest overtuigende en gemakkelijke manier om de wereld te laten geloven dat het een andere WannaCry uitbraak is door waardoor het lijkt alsof een.