Ransomware Petya/NotPetya lijkt gericht op veroorzaken van schade

pixabay-hacker-1944688_960_720

Beveiligingsonderzoekers zetten vraagtekens bij het daadwerkelijke doel waarmee de ransomware die Petya/NotPetya wordt genoemd is verspreid. De ransomware lijkt vooral te zijn bedoeld om schade aan te richten, en niet zo zeer om inkomsten te genereren voor zijn makers.

Zowel Nicholas Weaver van het International Computer Science Institute (ICSI) als beveiligingsonderzoeker The grugq melden in onafhankelijke analyses dat de nieuwe ransomware vooral gericht lijkt te zijn op het veroorzaken van zoveel mogelijk schade. “Onthoud: goede ransomware is een turnkey product dat kan worden aangeschaft, waarbij gekozen kan worden uit veel verschillende leveranciers”, aldus Weaver op Twitter. Weaver wijst erop dat de ransomware systemen volledig onbruikbaar maakt, er geen werkende betaalmechanisme beschikbaar is en er geen C&C-verkeer naar de ransomware lijkt te zijn. Het lijkt er volgens Weaver dan ook niet op dat de ransomware als doel heeft inkomsten te genereren.

‘Weinig overeenkomst met Petya-ransomware’

The grugq deelt deze mening en schrijft op Medium: “Deze malware is zeker niet ontwikkeld om geld te verdienen. Hij is bedoeld om zich snel te kunnen verspreiden en schade aan te richten onder het voorwendsel van ransomware.” Ook merkt The grugq op dat de code van de nieuwe ransomware weinig overeenkomt met oorspronkelijke Petya-ransomware. Ook Kaspersky Lab meldt dat het om andere ransomware gaat dan Petya en een nieuwe, niet eerder opgedoken vorm van malware betreft. Het bedrijf heeft de ransomware daarom NotPetya genoemd.

Opvallend aan de ransomware is ook dat de malware geen individuele bestanden versleuteld, maar zich richt op de master boot record (MBR) van computers. Zodra de MBR is versleuteld, is het volledige systeem versleuteld. Ook Petya hanteert overigens deze werkwijze.

Lees ook
Proofpoint: APT TA450, MuddyWater gebruikt nieuwe tactieken en richt zich op Israëlische medewerkers

Proofpoint: APT TA450, MuddyWater gebruikt nieuwe tactieken en richt zich op Israëlische medewerkers

Onderzoekers van Proofpoint nemen sinds kort nieuwe activiteit waar van de aan Iran gelinkte dreigingsactor TA450. Deze dreigingsactor is ook bekend als MuddyWater, Mango Sandstorm en Static Kitten.

NetApp bestrijdt in realtime ransomware

NetApp bestrijdt in realtime ransomware

NetApp biedt nieuwe mogelijkheden waarmee klanten hun data beter kunnen beschermen en herstellen tegen bedreigingen door ransomware. NetApp is één van de eerste die kunstmatige intelligentie (AI) en machine learning (ML) direct in de primaire storage van bedrijven integreert en zo ransomware in real-time bestrijdt. De cyberresiliency-oplossingen v1

Ongebruikelijke aanvalsketen TA577 veroorzaakt NTLM-datadiefstal

Ongebruikelijke aanvalsketen TA577 veroorzaakt NTLM-datadiefstal

Proofpoint identificeerde vorige week een nieuwe aanvalsketen van TA577 die NT LAN Manager authenticatie-informatie steelt. Het cybersecurity bedrijf identificeerde minstens twee campagnes die dezelfde techniek gebruikten voor het stelen van NTLM hashes op 26 en 27 februari 2024.