Motivet bakom "Petya" tros vara politiskt

Bildkälla: Matt Suiche

Motivet bakom "Petya" tros vara politiskt

Förra veckan spreds vad som troddes vara en gammal ransomware i ny skepnad. Analyser av den skadliga koden visar ett destruktivare snarare än ekonomiskt mål.

Ett ransomware vid namn Wannacry spreds som en löpeld världen över i maj. Det ekonomiska motivet bakom den skadliga koden blev snabbt uppenbart, när användaren fick se en ruta som talade om att samtlig data hade krypterats. Detta följt av en uppmaning att skicka en betalning om 300 dollar, i form av kryptovalutan Bitcoin till en specificerad adress. En vecka efter utbrottet hade Wannacry dragit in ungefär 100 000 dollar i Bitcoin.

När en sedan tidigare känd ransomware vid namn "Petya" började spridas under förra veckan, via bland annat samma attackvektor "Eternalblue", togs det då för givet att skaparen ämnade uppnå samma ekonomiska vinning. Revisionen av Petya, som vissa säkerhetsexperter har kommit att kalla för "Notpetya", visade till en början ett liknande beteende som Wannacry. Detta i form av en ruta, ihop med en Bitcoin-adress att skicka Bitcoin till ett värde av 300 dollar till.

NotPetya.jpg

Skillnaderna mellan Notpetya och Wannacry blev dock tydliga direkt efter betalningen. Där uppmanas användaren att skicka ett mejl till en adress, bestående av ett ID till sitt Bitcoin-konto samt en genererad nyckel, som ihop med angriparens nyckel ska generera en dekrypterings-nyckel.

If we compare this randomly generated data and the final installation ID shown in the first screen, they are the same. In a normal setup, this string should contain encrypted information that will be used to restore the decryption key. For ExPetr, the ID shown in the ransom screen is just plain random data.

Några dagar efter attacken genomförde dock forskare på Kaspersky Lab en undersökning av koden. Där fann de att den genererade nyckeln som användaren uppmanas att skicka i själva verket är värdelös. Detta då datan som genereras i nyckeln ej är relaterad till angriparens privata nyckel, utan är helt slumpmässig.

2016 Petya modifies the disk in a way where it can actually revert its changes. Whereas, 2017 Petya does permanent and irreversible damages to the disk.

Utöver det blockerades även den mail-adress som angavs hos leverantören Posteo, med argumentet att de inte tolererar missbruk av deras plattform. Redan här såg det mörkt ut för en eventuell återställning av drabbade system. Därtill ska Notpetya ha varit väldigt destruktiv i behandlingen av infekterad datorers Master Boot Record (MBR), där den skrivit över de första 18 blocken helt och hållet.

Dessa faktorer tillsammans har framkallat frågan om huruvida Notpetya är ännu en ransomware, eller snarare ett destruktivt försök till att göra stora mängder data helt oanvändbar, utan ekonomisk vinning som baktanke. Misstankarna göds ännu mer av det faktum att Ukraina blev det hårdaste drabbade landet av attacken, med 80 procent av de drabbade systemen.

As important government systems have been targeted, then in case the operation is attributed to a state this could count as a violation of sovereignty. Consequently, this could be an internationally wrongful act, which might give the targeted states several options to respond with countermeasures.

NATO:s Cooperative Cyber Defence Centre of Excellence (CCD COE) i Estland, har därför kommit fram till slutsatsen att attacken måste ha sitt ursprung i en statlig aktör. Tomáš Minárik vid CCD COE, uttalar i ett pressmeddelande att attacken anses som ett hot mot utsatta staters suveränitet, och att militär respons kan vara att vänta.

Kommentarer till artikeln

62 debattinlägg

Skicka en rättelse
13

PUBG, CS-proffs och tangentbordsfajt – SweClockers medlemsträff på Inferno Online

Det är kyckling, Counter-strike och mys med medlemmar när SweClockers intar Inferno Online. Emil och Jonas passar på att sammanfatta allt som pågår. Läs mer

I samarbete med Gigabyte
19

Guide: Gör om en dator till hemmarouter och brandvägg

Routrar, brandväggar och annat i nätverksteknikens värld är ett stort område. I denna guide skapar "Yoshman" en egen brandvägg med en Gigabyte Brix och går igenom vilka möjligheter den erbjuder. Läs mer

I samarbete med Republic of Gamers
56

Del 2 av Wintermute imorgon – missa inte del 1!

Tillsammans med Youtube-profilerna Matgeek och Nerdphilia bygger SweClockers en spel- och streamingdator med namnet Wintermute. Missa inte den första delen i videoserien! Läs mer

23

Sonys ingenjörer arbetar på optimeringar för Zen-arkitekturen

Sonys mjukvaruingenjörer jobbar på kompilatoroptimeringar för AMD:s Zen-arkitektur, vilket ökar sannolikheten för att även Playstation 5 ska inhysa AMD-komponenter. Läs mer

26

Google och Microsoft upptäcker nytt säkerhetshål i processorer

Återigen upptäcks ett processorrelaterat säkerhetshål och denna gång handlar det om Speculative Store Bypass, som kan utnyttja de gissningar moderna processorer gör. Läs mer

22

Nvidia avslöjar uppgraderad Geforce GTX 1050 med 3 GB grafikminne

Trots att Pascal uppges sjunga på sista versen släpper Nvidia fortfarande nya kort i serien. Nu handlar det om en variant av GTX 1050 med mer minne och fler CUDA-kärnor. Läs mer

11

Razer Blade får större skärm och lansering på svenska marknaden

Den tidigare 14 tum stora bärbara speldatorn Razer Blade tar steget upp till 15.6 tum, får uppdaterad design och komponenter och lanseras i Sverige. Läs mer

47

Sista chansen: Registrera dig för SweClockers läsarträff idag!

Det är tid för SweClockers att sammanstråla igen och detta sker på Inferno Online i Stockholm den 22 maj, där det blir medlemsträff, spelturnering och tävlingar. Läs mer

11

Spana in nya expansionen Elder Scrolls Online: Summerset Isle med Kristallkrona ikväll

Idag slår portarna upp för senaste expansionen till Elder Scrolls Online som tar spelarna till ön Summerset Isle. Kristallkrona står redo att visa vad tillägget har att erbjuda och svarar på eventuella frågor på GeeksLive-kanalen ikväll 19:00. Läs mer

14

Corsair AX1600i – nätaggregat i monsterklassen med 80 Plus Titanium

Testlabbet från besök av ett sant flaggskepp i nätaggregatsform, där Corsairs monstermodell AX1600i påstås erbjuda både hissnande hög verkningsgrad och extrem strömleverans. Läs mer

33

Silverstone presenterar det passivt kylda nätaggregatet Nightjar NJ450-SXL

I fjol visade Silverstone en prototyp av ett nätaggregat där kylningen sker passivt med hjälp av höljet. Nu listar företaget den färdiga produkten på sin webbplats. Läs mer

116

Postnords avgifter för paket från kinesiska Wish försvinner

Postnord uppges vara överens med kinesiska webbhandlaren Wish om att skrota importavgifterna som togs i bruk så nyligen som i mars enligt en rapport från Breakit. Rapporten anger också att fler aktörer varit i kontakt med Postnord. Läs mer