Motivet bakom "Petya" tros vara politiskt

Bildkälla: Matt Suiche

Motivet bakom "Petya" tros vara politiskt

Förra veckan spreds vad som troddes vara en gammal ransomware i ny skepnad. Analyser av den skadliga koden visar ett destruktivare snarare än ekonomiskt mål.

Ett ransomware vid namn Wannacry spreds som en löpeld världen över i maj. Det ekonomiska motivet bakom den skadliga koden blev snabbt uppenbart, när användaren fick se en ruta som talade om att samtlig data hade krypterats. Detta följt av en uppmaning att skicka en betalning om 300 dollar, i form av kryptovalutan Bitcoin till en specificerad adress. En vecka efter utbrottet hade Wannacry dragit in ungefär 100 000 dollar i Bitcoin.

När en sedan tidigare känd ransomware vid namn "Petya" började spridas under förra veckan, via bland annat samma attackvektor "Eternalblue", togs det då för givet att skaparen ämnade uppnå samma ekonomiska vinning. Revisionen av Petya, som vissa säkerhetsexperter har kommit att kalla för "Notpetya", visade till en början ett liknande beteende som Wannacry. Detta i form av en ruta, ihop med en Bitcoin-adress att skicka Bitcoin till ett värde av 300 dollar till.

NotPetya.jpg

Skillnaderna mellan Notpetya och Wannacry blev dock tydliga direkt efter betalningen. Där uppmanas användaren att skicka ett mejl till en adress, bestående av ett ID till sitt Bitcoin-konto samt en genererad nyckel, som ihop med angriparens nyckel ska generera en dekrypterings-nyckel.

If we compare this randomly generated data and the final installation ID shown in the first screen, they are the same. In a normal setup, this string should contain encrypted information that will be used to restore the decryption key. For ExPetr, the ID shown in the ransom screen is just plain random data.

Några dagar efter attacken genomförde dock forskare på Kaspersky Lab en undersökning av koden. Där fann de att den genererade nyckeln som användaren uppmanas att skicka i själva verket är värdelös. Detta då datan som genereras i nyckeln ej är relaterad till angriparens privata nyckel, utan är helt slumpmässig.

2016 Petya modifies the disk in a way where it can actually revert its changes. Whereas, 2017 Petya does permanent and irreversible damages to the disk.

Utöver det blockerades även den mail-adress som angavs hos leverantören Posteo, med argumentet att de inte tolererar missbruk av deras plattform. Redan här såg det mörkt ut för en eventuell återställning av drabbade system. Därtill ska Notpetya ha varit väldigt destruktiv i behandlingen av infekterad datorers Master Boot Record (MBR), där den skrivit över de första 18 blocken helt och hållet.

Dessa faktorer tillsammans har framkallat frågan om huruvida Notpetya är ännu en ransomware, eller snarare ett destruktivt försök till att göra stora mängder data helt oanvändbar, utan ekonomisk vinning som baktanke. Misstankarna göds ännu mer av det faktum att Ukraina blev det hårdaste drabbade landet av attacken, med 80 procent av de drabbade systemen.

As important government systems have been targeted, then in case the operation is attributed to a state this could count as a violation of sovereignty. Consequently, this could be an internationally wrongful act, which might give the targeted states several options to respond with countermeasures.

NATO:s Cooperative Cyber Defence Centre of Excellence (CCD COE) i Estland, har därför kommit fram till slutsatsen att attacken måste ha sitt ursprung i en statlig aktör. Tomáš Minárik vid CCD COE, uttalar i ett pressmeddelande att attacken anses som ett hot mot utsatta staters suveränitet, och att militär respons kan vara att vänta.

Kommentarer till artikeln

62 debattinlägg

Skicka en rättelse
4

In Win släpper kompakt nätaggregat på 700 W i formfaktorn SFX

Tillverkaren In Win breddar nu sitt sortiment av nätaggregat med den kompakta modellen In Win CS 700W, för vilket formfaktorn SFX och effektivitet enligt 80 Plus Gold gäller. Läs mer

12

Corsair lanserar PCI Express-baserade Force MP510

Med fokus på hög prestanda och utökad livslängd ersätter Corsair SSD-enheten MP500 med nykomlingen Force MP510, som även den använder formfaktorn M.2 och gränssnittet PCI Express. Läs mer

27

Apple håller Ipad-evenemang den 30 oktober

Elektronikjätten överraskar och anordnar ytterligare ett event. I slutet av oktober ska nya produkter avtäckas i New York, och sannolikt handlar det om uppdaterade Mac- och Ipad-modeller. Läs mer

249

Forumet: Vilken skärmupplösning spelar du med?

I och med att tekniken har gått framåt har upplösningen på skärmar sakta men säkert börjat leta sig uppåt. Vilken upplösning har du på din skärm? Gå in och kommentera i forumet! Läs mer

19

Cadence och Micron börjar tillverka DDR5-minne under 2019

Trots att specifikationerna för DDR5 ännu inte spikats meddelar nu Micron och Cadence att de börjar tillverka moduler enligt standarden mot slutet av 2019. Läs mer

45

Obsidian: "Väldigt tveksamt om vi gör ett nytt Fallout"

Fallout: New Vegas-utvecklaren Obsidian Entertainment har tidigare uttalat intresse för att göra ett nytt spel i serien, men meddelar nu att chanserna för detta är små. Läs mer

26

Intel klyver tillverkningsavdelningen mitt under rådande 10-nanometersproblem

I samband med Intels kapacitetsbrist på processorer på 14 nanometer och svårigheterna att få till en mer avancerad 10-nanometersteknik ska bolaget klyva tillverkningsdivisionen i tre delar. Läs mer

52

Blizzard dementerar rykten om Diablo 4 på Blizzcon

Många väntar sig ett avtäckande av ett nytt Diablo under Blizzcon 2018, men nu meddelar Blizzard att så inte blir fallet Läs mer

37

SweClockers Meet & Geek till Skellefteå och tankar inför år 2019

När SweClockers för tredje gången på fyra månader begår medlemsträff bär det av till Skellefteå. Vi är redan i full gång med att planera för år 2019 och vill nu ha in önskemål från er! Läs mer

44

Webbläsarnas spårningsblockering uppges sakna funktion

Funktionen Do Not Track är tänkt att hindra webbplatser från att spåra användare, men enligt ny information är det ytterst ovanligt att detta faktiskt efterföljs. Läs mer

112

Netflix: "EU:s innehållskvot kommer endast få negativa konsekvenser"

I sin senaste kvartalsrapport kritiserar Netflix EU:s innehållskvot för strömningstjänster, och menar att en sådan lösning är fel väg att gå för att främja filmskapande i regionen. Läs mer

97

Bahnhof släpper 10 Gbit-router för hemanvändare

Bahnhof blir nu en av de första att erbjuda en router för privatpersoner som bestyckas med en 10 Gigabit Ethernet, och därmed klarar av att leverera hastigheter upp till 10 000 Mbit/s. Läs mer