Petya ransomware: et statlig finansiert angrep eller ikke

Et utbredt ransomware-angrep kalt Petya / Petrwrap, og som lignet på WannaCry-angrep tidligere denne måneden, hadde truffet maskiner i Spania, Frankrike, Ukraina, Russland og noen få andre land på tirsdag, men den høyeste effekten av angrepet ble kjent i Ukraina, der en rekke offentlige og private sektororganisasjoner ble berørt.

Senere samme dag ble e-postkontoen til hackere som var nøkkelen til å dekryptere de berørte enhetene, deaktivert av e-postselskapet Posteo, noe som resulterte i et opprør siden berørte brukere ikke vil kunne motta dekrypteringsnøkkelen selv om de betaler løsepenger for 300 dollar i Bitcoins.

Omfanget av angrepet på Ukraina var relativt mye høyere sammenlignet med andre land, og dette har ført til at mange sikkerhetsforskere og eksperter tro at angrepet bare kan ha vært et statlig finansiert angrep rettet mot Ukraina.

Siden Bitcoin-kontoen som godtok betalinger bare hadde påløpt over 10.000 dollar i løsepenger før e-post-IDen ble lagt ned, har dette ført til at forskere tro at det virkelige motivet bak angrepet ikke var penger, men å skade Ukraina.

Les også: Hva er Ransomware og hvordan beskytte mot det.

Det faktum å utgi seg for å være et ransomware mens det faktisk er et nasjonalstatsangrep - spesielt siden WannaCry beviste at vidt spredte ransomware ikke er økonomisk lønnsomme - er etter vår mening en veldig subtil måte fra angriperen til å kontrollere fortellingen av angrepet, ”konkluderte Comas Matt Suiche.

Petya: Wiper, Not Ransomware; Eller ikke

Ransomware fra Petya klarte å samle en liten sum og påvirket Ukrainas sentralbank, metro transport, flyplass og Tsjernobyl kraftverk, noe som førte til at forskere trodde at angrepet var statsfinansiert og spesifikt målrettet mot å påvirke Ukrainas infrastruktur.

Sikkerhetsforskere har funnet ut at Petya ransomware ikke kunne ha blitt dekryptert.

"Etter en analyse av krypteringsrutinen til skadelig programvare som ble brukt i Petya-angrepene, har vi tenkt at trusselaktøren ikke kan dekryptere ofrenes disk, selv om det ble utbetalt en betaling. Dette støtter teorien om at denne kampanjen med skadelig programvare ikke ble designet som et ransomware-angrep for økonomisk gevinst. I stedet ser det ut til at den var designet som en visker som later til å være ransomware, ”uttalte Kaspersky Security-forskerne.

Ikke bare det, første infeksjoner ble sendt ut sammen med en oppdatering til MeDoc, et ukrainsk regnskapsprogram. Selv om det er uklart hvorfor de ekstra landene ble målrettet, hvis denne mistanken er sann, kan det godt være å hjelpe til med å skjule Petya som et verdensomspennende ransomware-angrep i stedet for et statlig sponset angrep på Ukraina.

En av de viktigste mistenkte for angrepet er den russiske regjeringen, som tidligere har blitt holdt ansvarlig for cyberangrep på Ukrainas offentlige infrastruktur som startet like etter annekteringen av Krim i 2014.

Selv om det er mye som tyder på at Petya er en visker og ikke en Ransomware, er alt i beste fall omstendelig.

Det er godt mulig at disse offentlige systemene til den ukrainske regjeringen, i likhet med andre myndigheter og private organisasjoner i andre land over hele verden, presenterte seg et mykt mål for hackerne, og det er derfor de ble angrepet.

Les også: Ransomware Attacks on the Rise: Here is How to Stay Safe.

Hvis du snakker om mangelfull dekryptering og betalingssystem for Petya ransomware-angrep, kunne det bare ha vært tilfelle uaktsom koding og oppfølging av hackere.

Selv om angriperne ikke kunne tjene penger, stjeler skadelig programvare også legitimasjon og annen data fra de infiserte systemene, noe som kan vise seg å være nyttig for videre angrep.

Selv om ingenting kan sies med sikkerhet om Petya ransomware-angrepet var et tilfelle av mislykket hacking eller hybridkrigføring, er en ting helt sikkert at det må være et bedre og mer pålitelig sikkerhetsrammeverk for å avverge farer ved slik cyber angrep i fremtiden.