Na de internetaanval van dinsdag verschijnen er meer analyses van de aard van de gebruikte malware. Beveiligingsbedrijf Kaspersky en onderzoeker Matt Suiche komen tot de conclusie dat de malware, Petya dan wel NotPetya genaamd, bedoeld is als wiper voor het wissen van data.

ransomeware1 300x225

In eerste instantie was het Suiche die een blogpost publiceerde waarin hij deze bevinding deelde. Hij schrijft dat traditionele ransomware de mogelijkheid bezit om versleutelde of afgesloten systemen weer te herstellen na betaling. In het geval van NotPetya is die mogelijkheid er niet, omdat de malware de eerste 25 blocks van een hdd-sector overschrijft zonder dat herstel mogelijk is. Op basis daarvan concludeert hij dat de schijn van ransomware een poging was om de media op een verkeerd spoor te zetten. Daarmee zou de aandacht, net als bij WannaCry, op een 'mysterieuze hackergroep' worden gevestigd in plaats van op een staat.

Na publicatie van de blogpost kwam ook Kaspersky met een soortgelijke analyse. Het bedrijf schrijft dat er in de waarschuwing die slachtoffers te zien krijgen een installation key te zien is, die zij naar een sinds dinsdagmiddag afgesloten e-mailadres moeten sturen. Deze sleutel is bij de oorspronkelijke Petya-ransomware daadwerkelijk aan de encryptiesleutel gerelateerd. Bij de NotPetya-malware is de sleutel echter het resultaat van een functie de willekeurige data genereert. Dat betekent dat decryptie nooit mogelijk was, aldus Kaspersky.

Woensdag gingen er al stemmen op dat het motief achter de verspreiding niet het verdienen van geld was. Onderzoekers the grugq en Nicholas Weaver stelden dat NotPetya was bedoeld om schade aan te richten. Er zijn vooralsnog geen concrete aanwijzingen voor de identiteit van de makers of de verspreiders van NotPetya. Beveiligingsbedrijf ESET stelde woensdag dat de malware in Oekraïne de meeste schade heeft aangericht.

Reacties mogelijk gemaakt door CComment