Den senaste attacken med ransomprogrammet Petaya kan ha haft ett helt annat mål än att försöka pressa offren på pengar. Det kan ha varit att orsaka så stor skada som möjligt.
Det är bland andra säkerhetsföretaget Symantec som gått igenom och analyserat Petaya och funnit att de dekrypteringsnycklar som finns med i utpressningsbreven som skickats ut är helt slumpmässiga och de går inte att använda för att dekryptera filer.
Once on a computer, the malware attempts to spread to all machines on the network, using a combination of stolen credentials and the EternalBlue exploit. It also attempts to connect to any computers that the infected computer has recently interacted with. However, unlike WannaCry, it does not attempt to connect to random IP addresses across the internet.
Ukraina
Attacken startade i Ukraina och den startade med en falsk uppdatering till ett ukrainskt skatteprogram. Spridningen började den 27, dagen före en ukrainsk helgdag. Avsikten kan ha varit att skada ukrainska intressen och företag men att de skyldiga sedan på något sätt tappade kontrollen över Petaya.
Den andra tänkbara och logiska förklaringen är att förövarna gjorde amatörmässiga missar i lösningen för hur de skulle kunna ta betalt av sina offer. I brevet som skickats ut sedan Petaya smittat och krypterat filer finns en enda e-postadress angiven. En adress som snabbt blockerades och stoppades. I brevet finns också bara en enda Bitcoin-adress angiven.
Det faktum att dekrypteringen inte heller visat sig fungera skulle också ha lett till att drabbade inte betalade några pengar. Filerna var ju ändå oåtkomliga.
Ryssland
I politiska kretsar i Ukraina pekades Ryssland snabbt ut som skyldig. Till nyhetsbyrån Reuters säger poliskällor att det sannolikt handlar om en attack riktad mot Ukraina och där avsikten var att skada landets infrastruktur.
A top Ukrainian police official told Reuters that the extortion demands were likely a smokescreen, echoing working hypotheses from top cyber security firms, who consider NotPetya a “wiper”, or tool for destroying data and wiping hard disks clean, that is disguised as ransomware.
“Since the virus was modified to encrypt all data and make decryption impossible, the likelihood of it being done to install new malware is high,” the official, who declined to be identified, wrote in a phone text message to Reuters.
0 kommentarer