Ransomware Petya/NotPetya lijkt gericht op veroorzaken van schade
Beveiligingsonderzoekers zetten vraagtekens bij het daadwerkelijke doel waarmee de ransomware die Petya/NotPetya wordt genoemd is verspreid. De ransomware lijkt vooral te zijn bedoeld om schade aan te richten, en niet zo zeer om inkomsten te genereren voor zijn makers.
Zowel Nicholas Weaver van het International Computer Science Institute (ICSI) als beveiligingsonderzoeker The grugq melden in onafhankelijke analyses dat de nieuwe ransomware vooral gericht lijkt te zijn op het veroorzaken van zoveel mogelijk schade. “Onthoud: goede ransomware is een turnkey product dat kan worden aangeschaft, waarbij gekozen kan worden uit veel verschillende leveranciers”, aldus Weaver op Twitter. Weaver wijst erop dat de ransomware systemen volledig onbruikbaar maakt, er geen werkende betaalmechanisme beschikbaar is en er geen C&C-verkeer naar de ransomware lijkt te zijn. Het lijkt er volgens Weaver dan ook niet op dat de ransomware als doel heeft inkomsten te genereren.
‘Weinig overeenkomst met Petya-ransomware’
The grugq deelt deze mening en schrijft op Medium: “Deze malware is zeker niet ontwikkeld om geld te verdienen. Hij is bedoeld om zich snel te kunnen verspreiden en schade aan te richten onder het voorwendsel van ransomware.” Ook merkt The grugq op dat de code van de nieuwe ransomware weinig overeenkomt met oorspronkelijke Petya-ransomware. Ook Kaspersky Lab meldt dat het om andere ransomware gaat dan Petya en een nieuwe, niet eerder opgedoken vorm van malware betreft. Het bedrijf heeft de ransomware daarom NotPetya genoemd.
Opvallend aan de ransomware is ook dat de malware geen individuele bestanden versleuteld, maar zich richt op de master boot record (MBR) van computers. Zodra de MBR is versleuteld, is het volledige systeem versleuteld. Ook Petya hanteert overigens deze werkwijze.
Meer over
Lees ook
Hackers verstoppen malware in RTF-documenten
Hackers verstoppen steeds vaker hun malware in RTF-documenten. Hiervoor waarschuwt in ieder geval beveiligingsbedrijf Trend Micro. De RTF-documenten worden voorzien van een embedded Control Panel (CPL)-bestand, die de malware naar de computer van het slachtoffer download. CPL-bestanden zijn bedoeld om informatie over de configuratie van het systee1
Supermalware The Mask bespioneert overheden, diplomaten en olie- & gassector
De supermalware The Mask bespioneert al zeker zes jaar lang ongemerkt allerlei doelwitten. De malware richt zich op zowel overheden en diplomaten als de gas- en oliesector. Dit stelt Kaspersky, dat meer details over de zeer geavanceerde malware bekend heeft gemaakt. De malware heeft van zijn makers de naam 'Careto' gekregen, wat het Spaanse woord1
Hackers verstoppen malware in metadata van PNG-bestand
Hackers zijn erin geslaagd malware te verstoppen in PNG-afbeeldingen. De malware nestelt zich in de metadata van de afbeeldingen en worden hierdoor op dit moment nog niet door virusscanners gedetecteerd. De nieuwe distributiemethode voor malware is ontdekt door de analist Peter Gramantik van het beveiligingsbedrijf Securi. Gramantik beschrijft de1