Ransomware Petya/NotPetya lijkt gericht op veroorzaken van schade
Beveiligingsonderzoekers zetten vraagtekens bij het daadwerkelijke doel waarmee de ransomware die Petya/NotPetya wordt genoemd is verspreid. De ransomware lijkt vooral te zijn bedoeld om schade aan te richten, en niet zo zeer om inkomsten te genereren voor zijn makers.
Zowel Nicholas Weaver van het International Computer Science Institute (ICSI) als beveiligingsonderzoeker The grugq melden in onafhankelijke analyses dat de nieuwe ransomware vooral gericht lijkt te zijn op het veroorzaken van zoveel mogelijk schade. “Onthoud: goede ransomware is een turnkey product dat kan worden aangeschaft, waarbij gekozen kan worden uit veel verschillende leveranciers”, aldus Weaver op Twitter. Weaver wijst erop dat de ransomware systemen volledig onbruikbaar maakt, er geen werkende betaalmechanisme beschikbaar is en er geen C&C-verkeer naar de ransomware lijkt te zijn. Het lijkt er volgens Weaver dan ook niet op dat de ransomware als doel heeft inkomsten te genereren.
‘Weinig overeenkomst met Petya-ransomware’
The grugq deelt deze mening en schrijft op Medium: “Deze malware is zeker niet ontwikkeld om geld te verdienen. Hij is bedoeld om zich snel te kunnen verspreiden en schade aan te richten onder het voorwendsel van ransomware.” Ook merkt The grugq op dat de code van de nieuwe ransomware weinig overeenkomt met oorspronkelijke Petya-ransomware. Ook Kaspersky Lab meldt dat het om andere ransomware gaat dan Petya en een nieuwe, niet eerder opgedoken vorm van malware betreft. Het bedrijf heeft de ransomware daarom NotPetya genoemd.
Opvallend aan de ransomware is ook dat de malware geen individuele bestanden versleuteld, maar zich richt op de master boot record (MBR) van computers. Zodra de MBR is versleuteld, is het volledige systeem versleuteld. Ook Petya hanteert overigens deze werkwijze.
Meer over
Lees ook
Lookout ontdekt dat Android spyware ‘Hermit’ wordt ingezet in Kazakhstan
Securitybedrijf Lookout heeft ontdekt dat Android-surveillanceware van enterprise niveau, momenteel door de regering van Kazachstan wordt gebruikt binnen de grenzen van het land. Onderzoekers van Lookout troffen ook bewijs van de inzet van deze spyware - die door onderzoekers ‘Hermit’ is genoemd - in Italië en in het noordoosten van Syrië.
Goede voorbereiding op ransomware cruciaal, meeste organisaties laten steken vallen
Zerto, een dochteronderneming van Hewlett Packard Enterprise (HPE), heeft de resultaten van een groot nieuw onderzoek naar ransomware bekend gemaakt. Hieruit komt naar voren dat bedrijven niet goed zijn voorbereid op een eventuele aanval, waardoor het opvangen en herstellen daarvan lastig is. Het onderzoek toont ook dat het tekort aan beveiligings1
Herstellen van een ransomware-aanval in vier stappen
Cybercriminelen zijn de afgelopen jaren steeds effectiever geworden in het timen van hun aanvallen: webwinkels tijdens Black Friday, overheidsinfrastructuren en ziekenhuizen tijdens een crisis. De opkomst van ransomware-as-a-service (RaaS) stelt cybercriminelen in staat om ransomware sneller, eenvoudiger en op grotere schaal in te zetten.