Motivet bakom "Petya" tros vara politiskt

Bildkälla: Matt Suiche

Motivet bakom "Petya" tros vara politiskt

Förra veckan spreds vad som troddes vara en gammal ransomware i ny skepnad. Analyser av den skadliga koden visar ett destruktivare snarare än ekonomiskt mål.

Ett ransomware vid namn Wannacry spreds som en löpeld världen över i maj. Det ekonomiska motivet bakom den skadliga koden blev snabbt uppenbart, när användaren fick se en ruta som talade om att samtlig data hade krypterats. Detta följt av en uppmaning att skicka en betalning om 300 dollar, i form av kryptovalutan Bitcoin till en specificerad adress. En vecka efter utbrottet hade Wannacry dragit in ungefär 100 000 dollar i Bitcoin.

När en sedan tidigare känd ransomware vid namn "Petya" började spridas under förra veckan, via bland annat samma attackvektor "Eternalblue", togs det då för givet att skaparen ämnade uppnå samma ekonomiska vinning. Revisionen av Petya, som vissa säkerhetsexperter har kommit att kalla för "Notpetya", visade till en början ett liknande beteende som Wannacry. Detta i form av en ruta, ihop med en Bitcoin-adress att skicka Bitcoin till ett värde av 300 dollar till.

NotPetya.jpg

Skillnaderna mellan Notpetya och Wannacry blev dock tydliga direkt efter betalningen. Där uppmanas användaren att skicka ett mejl till en adress, bestående av ett ID till sitt Bitcoin-konto samt en genererad nyckel, som ihop med angriparens nyckel ska generera en dekrypterings-nyckel.

If we compare this randomly generated data and the final installation ID shown in the first screen, they are the same. In a normal setup, this string should contain encrypted information that will be used to restore the decryption key. For ExPetr, the ID shown in the ransom screen is just plain random data.

Några dagar efter attacken genomförde dock forskare på Kaspersky Lab en undersökning av koden. Där fann de att den genererade nyckeln som användaren uppmanas att skicka i själva verket är värdelös. Detta då datan som genereras i nyckeln ej är relaterad till angriparens privata nyckel, utan är helt slumpmässig.

2016 Petya modifies the disk in a way where it can actually revert its changes. Whereas, 2017 Petya does permanent and irreversible damages to the disk.

Utöver det blockerades även den mail-adress som angavs hos leverantören Posteo, med argumentet att de inte tolererar missbruk av deras plattform. Redan här såg det mörkt ut för en eventuell återställning av drabbade system. Därtill ska Notpetya ha varit väldigt destruktiv i behandlingen av infekterad datorers Master Boot Record (MBR), där den skrivit över de första 18 blocken helt och hållet.

Dessa faktorer tillsammans har framkallat frågan om huruvida Notpetya är ännu en ransomware, eller snarare ett destruktivt försök till att göra stora mängder data helt oanvändbar, utan ekonomisk vinning som baktanke. Misstankarna göds ännu mer av det faktum att Ukraina blev det hårdaste drabbade landet av attacken, med 80 procent av de drabbade systemen.

As important government systems have been targeted, then in case the operation is attributed to a state this could count as a violation of sovereignty. Consequently, this could be an internationally wrongful act, which might give the targeted states several options to respond with countermeasures.

NATO:s Cooperative Cyber Defence Centre of Excellence (CCD COE) i Estland, har därför kommit fram till slutsatsen att attacken måste ha sitt ursprung i en statlig aktör. Tomáš Minárik vid CCD COE, uttalar i ett pressmeddelande att attacken anses som ett hot mot utsatta staters suveränitet, och att militär respons kan vara att vänta.

Kommentarer till artikeln

62 debattinlägg

Skicka en rättelse
26

Erfarenheter från att spela på Linux

Hur svårt är det att fimpa det för många välbekanta Windows och gå över till Linux? I forumet dokumenterar en nybörjare sina erfarenheter, hinder och lösningar när det kommer till att spela på Linux. Läs mer

30

Intel lanserar Core 9000-serien för bärbara datorer – toppmodell i upp till 5,0 GHz

Processorjätten Intel lanserar en ny serie processorer för bärbara datorer i prestandasegmentet. Toppmodellen har 8 kärnor, 16 trådar och en maximal turbofrekvens på 5,0 GHz. Läs mer

20

Oneplus 7 lanseras den 14 maj – kan släppas i flera modeller

Efter en tids rapporter bjuder Oneplus nu in till lanseringsevent för Oneplus 7, som går av stapeln den 14 maj. Informationen anger modeller, vilket styrker rapporter om en Pro-modell. Läs mer

44

Nvidia lanserar Geforce GTX 1650 med riktpriset 1 749 kronor

Nvidias lanserar nu nya grafikkort i mellanklassen. Geforce GTX 1650 bygger på Turing-arkitekturen och och får ett svenskt rekommenderat pris på 1 749 kronor. Läs mer

45

Fråga om spelmotorer svårast i SweClockers Star Wars-quiz

Trots att science fiction-sagan Star Wars är populärt i nördiga kretsar visade sig förra veckans quiz om Star Wars i spelform vara svårt. Läs mer

19

Microsoft slopar Sets – funktion för gruppering av flikar i Windows

Sets var tänkt att ge Windows 10 en systemöverskridande funktion för flikar i appar och gruppering av dessa. Nu meddelar Microsoft att funktionen slopas helt. Läs mer

0

AMD släpper drivrutin med optimeringar för Mortal Kombat XI

Hand i hand med nya spel är drivrutiner med särskilda optimeringar. Nu senast från AMD vars Radeon Software Adrenalin 2019 Edition 19.4.3 är ämnat Mortal Kombat XI. Läs mer

48

Samsung försenar Galaxy Fold på obestämd tid

Efter bekymmer med defekta skärmar i händerna hos recensenter väljer Samsung nu att försena Galaxy Fold utan att ange ett nytt lanseringsdatum. Läs mer

563

FiskClockers – Allt om fiske!

På SweClockers samlas nördar för att diskutera datorer, men vem vänsterprasslar inte med andra särintressen och tidsfördriv? Som fiske, till exempel. Läs mer

1

Nvidia Geforce GTX 1650 Ti från Asus listas på webben

Nvidia Geforce GTX 1650 Ti tros lanseras efter GTX 1650, och kan bli det avslutande kortet i grafikkortsserien. Nu hittar modellen ut på nätet i en listning ifrån Asus. Läs mer

17

Samsung senarelägger lanseringsevent för Galaxy Fold i Kina

Samsung har haft problem med skärmarna på Galaxy Fold, och nu skjuter bolaget upp de planerade lanseringseventen i Kina. Orsaken är dock oklar, likaså om det påverkar lanseringen globalt. Läs mer

2

Tre snackisar från CES 2019 – AMD Radeon, AMD Ryzen och Geforce med Freesync

CES må ligga i backspegeln, men är trots det alltid aktuell. Vi blickar tillbaka mot årets mässa och plockar ut tre godbitar som fick kommentarsfälten att explodera. Läs mer