Een nieuwe malware uitbraak
Slechts krantenkoppen vorige maand, WannaCry over de hele wereld nadat zij erin geslaagd om meer dan 200 000 computers in meer dan 150 landen via een beveiligingsprobleem in Windows infecteren. In de laatste paar dagen zagen we een andere wijdverspreide aanval die eerst werd verondersteld te zijn van een ransomware-uitbraak. Het heeft een verscheidenheid van verschillende namen, maar wordt meestal aangeduid als Petya or NotPetya.
Petya is een bekende ransomware die is rond voor een tijdje, maar de ontwikkelaar heeft betrokkenheid in deze nieuwe aanval, dus waarom het NotPetya door sommigen heet ontkend. Op het eerste gezicht het gedraagt zich als de typische ransomware, versleutelt bestanden en vervolgens vraagt dat slachtoffers betalen om ze te herstellen. Bij nader onderzoek is de realiteit heel anders. Onderzoekers hebben tot de conclusie gekomen dat NotPetya niet eigenlijk ransomware maar eerder wisser malware is. Wat ze doen vermoeden is dat het niet is bedoeld om geld te verdienen, is het bedoeld om systemen te vernietigen.
Oekraïens bedrijf zijn geweest de ground zero
Onderzoekers in diverse beveiligingsbedrijven geloven dat een boekhoudkundige softwareleverancier gevestigd in Oekraïne, M.E.Doc, per ongeluk de malware die hebben geleid tot de infectie duizenden computers heeft verspreid. Hoewel het bedrijf zelf heeft dit ontkend, malware specialisten geloven dat het bedrijf is gehackt en hun servers werden aangetast. De hackers een kwaadaardige software-update uitgebracht en de klanten die het installeerde eindigde besmetten hun computers met NotPetya. De malware kreeg vervolgens referenties met lokale netwerken en met bepaalde hulpprogramma’s, het kan verspreiden naar computers op hetzelfde netwerk. Het is ook gemeld dat de exploit gebruikt door WannaCry, EternalBlue, samen met de Eternalromance wordt gebruikt bij deze aanval ook. Het goede nieuws is dat het is niet verspreid via het Internet, alleen via LAN. Dit, echter vraag de hoe de malware kan verspreiden naar andere landen, waar de besmette bedrijven geen contact met M.E.Doc hadden.
Hoe werkt NotPetya?
Net als de oorspronkelijke Petya ransomware, doet NotPetya niet versleutelen bestanden een na de andere. Wat het doet is het opnieuw opstarten van de computer en codeert de harde schijf hoofdbestandstabel (MFT) en maakt de master bootrecord (MBR) niet in staat om goed te functioneren. Petya wordt de gecodeerde MBR-up vervangen door een kwaadaardige code en uw computer is onvermogend voor schoen. In plaats daarvan, het de losgeld notitie wordt weergegeven. Dit is waar de NotPetya verschilt van Petya. Coma technologieën onderzoeker Matt Suiche, staat dat de oorspronkelijke Petya ransomware codeert de schijf wijze zodat het zou het omkeren van de wijzigingen indien nodig. NotPetya, doet aan de andere kant, permanente en onomkeerbare schade aan de schijf.
Specialisten denken dat notpetya is niet bedoeld om geld te verdienen, is het bedoeld om te vernietigen
Als het hele proces voltooid is, verschijnt de besmette computer een losgeld nota. Uit het bericht blijkt dat bestanden zijn gecodeerd en dat u moet betalen $300 waard van Bitcoin naar het verstrekte adres. Wanneer het slachtoffer het rantsoen betaalt, zij geacht worden hun betaling-ID en de persoonlijke installatie-toets, die beschikbaar is in de notitie, naar wowsmith123456@posteo.net te sturen. De Duitse e-mailprovider heeft echter het besluit tot afsluiting van deze account, wat betekent dat je niet in contact met de hackers gemaakt. Zelfs als u betaalt, zou de criminelen hebben geen manier om te weten wie betaald.
Dit is niet de enige reden waarom je niet moet betalen. Verder onderzoek naar de malware heeft ontdekt dat de mensen achter de aanval niet de intentie hebben van het herstel van bestanden. Het is gewoon niet mogelijk. De hierboven genoemde installatie key ID is een cruciaal onderdeel van het decoderingsproces. Het bevat informatie over het slachtoffer en de decoderingssleutel. De installatie-ID die u in het losgeld nota ziet is enkel willekeurige gegevens, hetgeen suggereert dat NotPetya niet bedoeld was om geld te verdienen.
Malware-onderzoekers zijn nu categoriseren NotPetya niet als ransomware maar als een ruitenwisser die in principe vernietigt uw bestanden met geen manier om ze te herstellen. Terwijl eigenlijk niet alle bestanden op het systeem, verwijdert zodra uw bestanden zijn gecodeerd, is er geen manier voor het decoderen van hen, waardoor ze nutteloos. En dit is opzettelijk beschouwd. Wat betekent dat dit gaan, doel ontwikkelaars achter de infectie niet om geld te verdienen.
Oekraïne lijkt te hebben het grootste aantal slachtoffers. Men heeft gerapporteerd dat de regering organisatie beheren Chernobyl rampenstreek overschakelen moest naar de handmatige straling controle omdat ze moesten afsluiten van alle Windows-computers. Oekraïens-Major energiebedrijven lijken te zijn ook getroffen. Zien als Oekraïne nam het hardst wordt getroffen en het feit dat er is alles begonnen, het wordt geloofd de het land was de beoogde doelgroep in wat sommigen geloven te zijn geweest een aanval van de natiestaat.
Wat u kon gedaan hebben om te voorkomen dat rampzalige resultaten?
Back-up. Als de WannaCry-aanval heeft geleerd zowel particulieren als zakelijke iets, is het belang van back-up. Zien als er geen manier is voor het decoderen van bestanden, zelfs als u betaalt, is het enige ding dat kon hebt opgeslagen u een heleboel moeite bestanden opgeslagen ergens anders. We leven in een wereld waar malware schuilt op elke hoek op het Internet, maar mensen zijn verre van veiligheid voorzichtig. Dit blijkt elke dag wanneer gebruikers melden dat hun bestanden zijn gecodeerd en er geen back-up is.
Cyber dreiging is reëel. Ongeacht wie waren de hoofddoelen van deze aanval, is het belangrijk te begrijpen dat het is niet iets dat niet kan jou ook overkomen en daarom u niet hoeft te voorzichtig zijn. En totdat mensen dat beseffen en ervoor te zorgen dat ze doen alles wat dat ze kunnen om zichzelf te beschermen, het gaat alleen om erger.
Verwijzingen