Petya: een nieuwe grootschalige ransomware-aanval

petya

Met Petya is een nieuwe grootschalige ransomware-aanval een feit. Vorige maand nog werden bedrijven wereldwijd getroffen door de WannaCry-ransomware. Deze software infecteerde systemen wereldwijd door gebruik te maken van een kwetsbaarheid in een ouder (reeds gepatcht) lek in Windows. Afgelopen dinsdagmiddag was het opnieuw raak: een grootschalige ransomware-uitbraak, veroorzaakt door een variant van de Petya-ransomware, treft een groot aantal gebruikers in Europa, waaronder Oekraïne, maar ook in Nederland. Toch lijkt deze aanval, net als de WannaCry-aanval, de hackers vooralsnog weinig op te leveren (US$7,500).

Schade
Security-specialist Albert Kramer van Trend Micro ziet overeenkomsten, maar ook verschillen en stelt dat er waarschijnlijk een ander motief achter deze aanval schuilgaat dan direct financieel gewin. Deze malware is helemaal niet bedoeld als ransomware, maar voornamelijk om zoveel mogelijk schade aan te richten die niet of nauwelijks te repareren is. Deze malware heeft zich wel vermomd als een ransomware.

Petya en WannaCry: zeer geraffineerde malware
“De aanval van gisteren is interessant omdat er, net als bij WannaCry, iets opmerkelijks aan de hand is. Enerzijds gaat het om een zeer geraffineerde malware die zich gericht verspreidt, met destructieve gevolgen. Zo houdt het onder meer rekening met tijdzones, maar ook met taalinstellingen. Anderzijds worden er door de hackers ook een bitcoin-adres gebruikt dat hard gecodeerd is. Dat maakt een eventueel decryptieproces voor de hackers zeer arbeidsintensief en ingewikkeld. Het is voor de hackers die hierachter zitten nauwelijks bij te houden welk slachtoffer heeft betaald en wie dus een unieke decryptiesleutel moet krijgen om de versleutelde bestanden weer toegankelijk te maken. Daarnaast wordt er niet van de gebruikelijke versleutelde communicatie tussen slachtoffer en crimineel gebruik gemaakt. Er wordt een statisch email gebruikt welke ondertussen ook al niet meer actief is. Het is dus op dit moment onmogelijk een sleutel te krijgen om gegevens te ontsleutelen, ook als je betaalt hebt. Dit is allemaal zeer onlogisch voor een echte ransomware-aanval.”

Afleidingsmanoeuvre 
“De werkelijke reden ligt dan dichter bij het aanbrengen van zoveel mogelijk schade aan doelwitten, voornamelijk bedrijven”, aldus Albert. “Aangezien er een link is gevonden met een account softwarepakket uit de Oekraïne, en dit land ook als eerste hard geraakt is, ligt een vermoeden van een gerichte actie voor de hand. Een ander scenario kan zijn dat een grootscheepse wereldwijde aanval ook een afleidingsmanoeuvre kan zijn om ergens anders op kleine schaal een gerichte, bijna onzichtbare, aanval te doen. Dit is makkelijker als de beveiligers allemaal gericht zijn op deze zogenaamde ransomware-uitbraak. De tijd zal moeten uitwijzen wat er werkelijk achter de uitbraak van deze Petya-malware zit.”

De eerdere blogbijdrage van Albert Kramer over de WannaCry-aanval vindt u hier: blog.trendmicro.nl/wannacry/

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *