Nytt Petya-utbrudd er en wiper

Er ikke et løsepengevirus likevel. Dataene er ikke midlertidig låst, de er permanent tapt.

Les den opprinnelige saken her.

Tidligere denne uken stengte e-postleverandøren Posteo e-postkontoen brukt av bakmennene for å motta informasjon fra de som betalte løsepenger. Dette gjorde at det ikke var mulig for bakmennene å sende dekrypteringsnøkler tilbake til ofrene.

Sikkerhetsforskere har nå imidlertid oppdaget at det ikke er snakk om løsepengevirus, men en såkalt wiper. En wiper har som formål å ødelegge data, ikke å tjene penger slik som løsepengevirus.

Det som er blitt funnet ut, er at det aldri i utgangspunktet var mulig å få tilbake krypterte data. En av årsakene til dette er at ID-nummeret som skal identifisere et offer genereres helt tilfeldig av skadevaren uten at bakmennene kan ha kjennskap til det. Selv om infrastrukturen for betaling og dekryptering hadde fungert, ville det derfor vært umulig for bakmennene å finne ut hvem som har og ikke har betalt.

I tillegg hevder sikkerhetsforskere at skadevaren også ødelegger oppstartsområdene på disken, slik at det blir umulig å bruke disken på vanlig måte.

Hensikten er ikke å tjene penger

Sikkerhetsforskere peker i tillegg på flere andre nøkkelpunkter som tilsier at skadevaren aldri var ment å fungere som et funksjonelt løsepengevirus:

  1. Skadevaren bruker én enkel Bitcoin-adresse for å motta betalinger. I løsepengevirusene brukt av “profesjonelle” cyberkriminelle brukes det heller separate adresser, da blir det lettere for bakmennene å følge med på hvem som betaler.
  2. Ofrene ble nødt til å manuelt skrive inn en lang og vanskelig tekst i en e-post. Slike strevsomme utfordringer unngås av “proffene”, fordi de reduserer sjansen for at folk betaler.
  3. Ofrene var nødt til å kontakte bakmennene gjennom en e-postadresse fra en vanlig leverandør, som attpåtil ble stengt av leverandøren. Vanlig cyberkriminelle gjør kommunikasjonssystemet mer robust, da kommunikasjonen er en forutsetning for å tjene penger.

Man kan kanskje tro at dette er feil som skyldes at bakmennene er lite erfarne. Det ser imidlertid ikke ut til å være tilfellet. Med unntak av det som er ment å få skadevaren til å fremstå som et løsepengevirus, er skadevaren imponerende.
Den benytter den samme kjente svakheten som WannaCry for å spre seg, men det er gjort egne modifiseringer og kombinasjoner som utnytter legitime Windows-verktøy for å kunne infisere selv fullt oppdaterte maskiner. Den spredte seg også først ved å kompromittere oppdateringssystemet til programvaren M.E.Doc, et regnskapsprogram spesielt mye brukt i Ukraina. Dette er en relativt avansert angrepsvektor som sjelden brukes av “vanlige” cyberkriminelle.

Flere sikkerhetseksperter har derfor hevdet at formålet med angrepet var å gjøre skade, eller å teste et cybervåpen. Det hele ble så “forkledd” som et løsepengevirus for at media, i kjølvannet av WannaCry, skulle fange det opp og gi vanlige cyberkriminelle skylda.

Ressurser og kilder

Ars Technica – Tuesday’s massive ransomware outbreak was, in fact, something much worse
Comae – Petya.2017 is a wiper not a ransomware
Medium @thegrugq – Pnyetya: Yet Another Ransomware Outbreak
Digi.no – Pengeutpressingen i den Petya-skadevaren kan ha vært skalkeskjul for noe helt annet

Publisert: 3. juli 2017

Informasjon fra NorSIS er hentet fra flere kilder. NorSIS vurderer informasjon før publisering, men NorSIS kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.