Petya ransomware: atak finansowany przez państwo lub nie

Szeroko rozpowszechniony atak ransomware nazwany Petya / Petrwrap, który jest bardzo podobny do ataków WannaCry na początku tego miesiąca, uderzył we wtorek w maszyny w Hiszpanii, Francji, na Ukrainie, w Rosji i kilku innych krajach, ale największy wpływ tego ataku miał miejsce na Ukrainie, gdzie dotyczyło to wielu organizacji rządowych i prywatnych.

Później tego samego dnia konto e-mailowe hakerów, które było kluczem do odszyfrowania dotkniętych urządzeń, zostało wyłączone przez firmę pocztową Posteo, co spowodowało zamieszanie, ponieważ dotknięci użytkownicy nie będą mogli otrzymać klucza deszyfrującego, nawet jeśli zapłacą okup w wysokości 300 $ w Bitcoinach.

Skala ataku na Ukrainę była relatywnie wyższa w porównaniu z innymi krajami, co doprowadziło wielu badaczy bezpieczeństwa i ekspertów do przekonania, że ​​atak mógł być tylko finansowanym przez państwo atakiem na Ukrainę.

Ponieważ konto Bitcoin, które przyjmowało płatności, zgromadziło ponad 10 000 USD w płatnościach okupu, zanim identyfikator e-mail został zamknięty, doprowadziło to naukowców do przekonania, że ​​prawdziwym motywem ataku nie były pieniądze, ale uszkodzenie Ukrainy.

Przeczytaj także: Co to jest Ransomware i jak się przed nim chronić.

„Fakt udawania oprogramowania ransomware, podczas gdy w rzeczywistości jest atakiem państwa narodowego - zwłaszcza, że ​​WannaCry udowodnił, że szeroko rozpowszechnione oprogramowanie ransomware nie jest opłacalne finansowo - jest naszym zdaniem bardzo subtelnym sposobem na kontrolowanie narracji przez atakującego ataku - zakończył Matt Suiche Comae.

Petya: Wiper, Not Ransomware; Albo nie

Petya ransomware zdołała zebrać niewielką sumę i dotknęła ukraiński bank centralny, transport metra, lotnisko i elektrownię w Czarnobylu, co doprowadziło naukowców do przekonania, że ​​atak był finansowany przez państwo i miał na celu przeciwdziałanie oddziaływaniu na ukraińską infrastrukturę.

Badacze bezpieczeństwa odkryli, że Petya ransomware nie mogło zostać odszyfrowane.

„Po analizie procedury szyfrowania szkodliwego oprogramowania wykorzystywanego w atakach Petya, sądziliśmy, że aktor zagrożenia nie może odszyfrować dysku ofiary, nawet jeśli dokonano płatności. Potwierdza to teorię, że ta kampania szkodliwego oprogramowania nie została zaprojektowana jako atak ransomware dla zysku finansowego. Zamiast tego wygląda na to, że został zaprojektowany jako wycieraczka udająca oprogramowanie ransomware ”- stwierdzili badacze z Kaspersky Security.

Co więcej, początkowe infekcje zostały wysłane wraz z aktualizacją do ukraińskiego programu księgowego MeDoc. Chociaż nie jest jasne, dlaczego dodatkowe kraje były celem ataku, jeśli to podejrzenie jest prawdziwe, to może pomóc ukryć Petyę jako ogólnoświatowy atak ransomware, a nie sponsorowany przez państwo atak na Ukrainę.

Jednym z głównych podejrzanych o atak jest rosyjski rząd, który w przeszłości był odpowiedzialny za cyberataki na ukraińską infrastrukturę publiczną, które rozpoczęły się wkrótce po aneksji Krymu w 2014 roku.

Chociaż istnieje wiele dowodów wskazujących na to, że Petya jest Wiper, a nie Ransomware, wszystko to jest w najlepszym wypadku poszlakowe.

Jest całkiem możliwe, że te publiczne systemy ukraińskiego rządu, podobnie jak inne organizacje rządowe i prywatne w innych krajach na całym świecie, przedstawiły sobie miękki cel dla hakerów i dlatego zostały zaatakowane.

Przeczytaj także: Ataki Ransomware na wzrost: oto jak zachować bezpieczeństwo.

Jeśli mówisz o wadliwym systemie odszyfrowywania i płatności dla ataku Petya ransomware, może to być przypadek niedbałego kodowania i śledzenia przez hakerów.

Nawet jeśli atakujący nie byliby w stanie zarabiać pieniędzy, złośliwe oprogramowanie kradnie również dane uwierzytelniające i inne dane z zainfekowanych systemów, co może okazać się przydatne do dalszych ataków.

Chociaż nic nie można powiedzieć na pewno, czy atak Petya ransomware był przypadkiem nieudanego hakowania lub wojny hybrydowej, jedno jest pewne, że potrzebne są lepsze i bardziej niezawodne ramy bezpieczeństwa w celu uniknięcia niebezpieczeństw związanych z takim cybernetycznym ataki w przyszłości.