Motivet bakom "Petya" tros vara politiskt

Bildkälla: Matt Suiche

Motivet bakom "Petya" tros vara politiskt

Förra veckan spreds vad som troddes vara en gammal ransomware i ny skepnad. Analyser av den skadliga koden visar ett destruktivare snarare än ekonomiskt mål.

Ett ransomware vid namn Wannacry spreds som en löpeld världen över i maj. Det ekonomiska motivet bakom den skadliga koden blev snabbt uppenbart, när användaren fick se en ruta som talade om att samtlig data hade krypterats. Detta följt av en uppmaning att skicka en betalning om 300 dollar, i form av kryptovalutan Bitcoin till en specificerad adress. En vecka efter utbrottet hade Wannacry dragit in ungefär 100 000 dollar i Bitcoin.

När en sedan tidigare känd ransomware vid namn "Petya" började spridas under förra veckan, via bland annat samma attackvektor "Eternalblue", togs det då för givet att skaparen ämnade uppnå samma ekonomiska vinning. Revisionen av Petya, som vissa säkerhetsexperter har kommit att kalla för "Notpetya", visade till en början ett liknande beteende som Wannacry. Detta i form av en ruta, ihop med en Bitcoin-adress att skicka Bitcoin till ett värde av 300 dollar till.

NotPetya.jpg

Skillnaderna mellan Notpetya och Wannacry blev dock tydliga direkt efter betalningen. Där uppmanas användaren att skicka ett mejl till en adress, bestående av ett ID till sitt Bitcoin-konto samt en genererad nyckel, som ihop med angriparens nyckel ska generera en dekrypterings-nyckel.

If we compare this randomly generated data and the final installation ID shown in the first screen, they are the same. In a normal setup, this string should contain encrypted information that will be used to restore the decryption key. For ExPetr, the ID shown in the ransom screen is just plain random data.

Några dagar efter attacken genomförde dock forskare på Kaspersky Lab en undersökning av koden. Där fann de att den genererade nyckeln som användaren uppmanas att skicka i själva verket är värdelös. Detta då datan som genereras i nyckeln ej är relaterad till angriparens privata nyckel, utan är helt slumpmässig.

2016 Petya modifies the disk in a way where it can actually revert its changes. Whereas, 2017 Petya does permanent and irreversible damages to the disk.

Utöver det blockerades även den mail-adress som angavs hos leverantören Posteo, med argumentet att de inte tolererar missbruk av deras plattform. Redan här såg det mörkt ut för en eventuell återställning av drabbade system. Därtill ska Notpetya ha varit väldigt destruktiv i behandlingen av infekterad datorers Master Boot Record (MBR), där den skrivit över de första 18 blocken helt och hållet.

Dessa faktorer tillsammans har framkallat frågan om huruvida Notpetya är ännu en ransomware, eller snarare ett destruktivt försök till att göra stora mängder data helt oanvändbar, utan ekonomisk vinning som baktanke. Misstankarna göds ännu mer av det faktum att Ukraina blev det hårdaste drabbade landet av attacken, med 80 procent av de drabbade systemen.

As important government systems have been targeted, then in case the operation is attributed to a state this could count as a violation of sovereignty. Consequently, this could be an internationally wrongful act, which might give the targeted states several options to respond with countermeasures.

NATO:s Cooperative Cyber Defence Centre of Excellence (CCD COE) i Estland, har därför kommit fram till slutsatsen att attacken måste ha sitt ursprung i en statlig aktör. Tomáš Minárik vid CCD COE, uttalar i ett pressmeddelande att attacken anses som ett hot mot utsatta staters suveränitet, och att militär respons kan vara att vänta.

Kommentarer till artikeln

62 debattinlägg

Skicka en rättelse
17

Galleri: Egentillverkat tangentbord från medlemmen Felion1337

Medlemmen Felion1337 bygger ett eget tangentbord från botten upp med modifierade Cherry MX Silent-brytare, i jakten på ett tyst mekaniskt tangentbord i minimalistisk formfaktor. Läs mer

34

Blizzard upphör med stöd för Windows XP och Windows Vista

Trots att Microsoft själva officiellt avslutat stödet för både Windows XP och Vista har Blizzard behållit stöd för operativsystemen i ett flertal spel, nu bekräftar Blizzard att det är slut med det. Läs mer

70

Varumärkesansökan av Nintendo pekar på ett Nintendo 64 Classic Edition

En användare på forumet Neogaf har upptäckt en varumärkesansökan på vad som verkar vara den klassiska spelkontrollen för Nintendo 64, vilket kan antyda att en revision av konsolen är på gång. Läs mer

5

Arctics trio av vattenkylare får stöd för AMD Ryzen Threadripper

Lanseringsdatumet för AMD:s mångkärniga processorer i Threadripper-serien närmar sig och samtidigt dyker fler uppgifter om kylare upp. Läs mer

28

Moderkort i Mini ITX-format från Gigabyte för sockel AM4 når svenska butiker

Några månader efter lanseringen av AMD Ryzen är det fortfarande glest i lagren när det kommer till ITX-moderkort för AMD:s nya sockel AM4. Nu blir det ändring på det när Gigabyte äntrar scenen. Läs mer

39

Microsoft bekräftar avslutat stöd för Intels Clover Trail-familj

Kort efter att inkompatibilitet mellan äldre Intel-processorer och senaste uppdateringen för Windows 10 uppdagats, bekräftar Microsoft att den är permanent. Läs mer

24

EagleTree Capital i förhandlingar om att köpa Corsair Components

Anonyma källor till Reuters gör gällande att investeringsbolaget EagleTree Capital befinner sig i förhandlingar om att köpa amerikanska Corsair Components. Läs mer

34

Microsoft introducerar kortare nedtid vid uppdateringar med Fall Creators Update

Med lanseringen av uppdateringen Fall Creators Update väntas kortare nedtid vid uppdateringar eftersom bolaget stuvar om uppdateringsprocessen. Läs mer

32

Testpilot: Komplett Gamer Xtreme a70

För den kräsne gamern som bara vill starta upp datorn och börja lira står numera även AMD på menyn hos Komplett. Testpiloten Simon Alling granskar prestandapaketet Gamer Xtreme a70. Läs mer

12

Alphabet återupplivar AR-glasögonen Google Glass med fokus på företag

Moderbolaget till Google visar upp nya modellen av AR-glasögonen Glass som går under namnet Enterprise Edition, vilka är tänkta att öka produktionen och effektiviteten på industrigolvet. Läs mer

16

Fulkultur om Zelda i våra hjärtan

Zelda-universumet har funnits i drygt 31 år, som under den tiden resulterat i ett antal speltitlar. Häng med när Andreas Eklöv och Jakob Nilsson dyker ner i Zeldas långa historia. Läs mer

24

Samsung växlar upp produktionstakten av HBM2-minne

HBM har länge dragits med problem som höga priser och låga kapaciteter, något Samsung försöker råda bot på med ökad produktion av minnestypen. Läs mer