La criminalità Gruppo Dietro di se ‘Petya’ Ransomware Riemerge per le distanze Da Questa Settimana Globale di Attacchi informatici

Immagine: Janus Criminalità Informatica Soluzioni

Janus criminalità informatica Soluzioni, l’autore di Petya—ransomware inizialmente attribuita martedì globale di attacchi informatici—rivestita su Twitter nella serata di mercoledì, apparentemente offre per aiutare coloro le cui file non può più essere recuperato.

Il gesto altruistico, anche se non sterili, è insolita dell’organizzazione criminale che ha lanciato un mondo sotterraneo impresa mettendo potente exploit nelle mani di altri distribuire come meglio credono. Si può anche semplicemente indicare che Giano preferisce non essere etichettato con la diffusione della “NotPetya”, così chiamato da Kaspersky Lab, che ha cercato di differenziare tra Giano’ ransomware e che cui ha lavorato il caos in tutta Europa questa settimana.

C’è un consenso tra esperti malware che NotPetya è in realtà un tergicristallo—malware, progettato per infliggere danni permanenti—non ransomware come Petya, che ha dato le sue vittime’ la possibilità di recuperare i propri dati per un prezzo.

La prima analisi di questo stato offerto martedì dal ricercatore di sicurezza il grugq, che ha scritto: “Il superficiale somiglianza di Petya è solo la pelle in profondità. Anche se vi è una significativa condivisione del codice, il vero Petya era un criminale azienda per fare soldi. Questo non è sicuramente progettato per fare soldi. Questo è stato progettato per diffondersi velocemente e causare danni, con un plausibilmente negabile cover di ” ransomware.’”

In un tweet nella serata di mercoledì, il volto pubblico di Giano è venuto a vita dopo sette mesi di silenzio, suggerendo che i file bloccati da NotPetya potrebbe essere recuperato utilizzando un Giano chiave privata. Al momento della scrittura, che non hai ancora elaborato ulteriormente.

Ransomware-come-un-Servizio

A inizio 2016, Janus ha lanciato una darknet sito web basato su un del mercato nero, modello di business chiamato Ransomware-as-a-Service (RaaS). Messo semplicemente, hanno offerto altri criminali di accedere a un sofisticato ransomware-piattaforma di distribuzione. I suoi clienti, dopo il pagamento di un nominale quota di iscrizione, potrebbe utilizzare la piattaforma e in cambio Janus ricevuto un taglio di tutte riscatto pagato. I clienti monitorati i tassi di infezione tramite una semplice interfaccia web, che ha permesso anche a loro di regolare il riscatto importi. Janus, che si è presentata come un “professionista criminale informatico” organizzazione, ha anche offerto un supporto tecnico, mitigare le segnalazioni di bug e fielding richieste di nuove funzionalità per la sua piattaforma beta.

Il modello di ricavi è stato progettato specificamente per le esigenze di clienti che ha tirato in più pagamenti di riscatto. Coloro che hanno raccolto meno di 5 bitcoin in riscatto per settimana, per esempio, ha ricevuto solo un 25 per cento di taglio, mentre coloro che raccolgono più di 125 bitcoin ha ricevuto un 85 per cento di share.

In passato, RaaS rivenditori per lo più limitato commerciali di accesso alla ransomware che ha sfruttato ben noto e ampiamente patch di vulnerabilità. Janus, tuttavia, non era un cazzo. Il gruppo è abbastanza singolare, in che il suo prodotto era sofisticato e, al momento, ancora molto efficace.

Petya, il malware che non era più dietro di martedì a scoppio, nonostante i rapporti di questo nei media—solo la metà di Giano’ di carico.

A differenza della maggior parte ransomware, che lascia il sistema operativo intatto durante la cifratura di singoli file, Petya cifra di intere porzioni di sua vittima disco rigido. Petya, invece, sostituisce il computer Master Boot Record, il blocco dell’utente al di fuori del sistema operativo. La Tabella File Master è quindi criptato lasciando il computer in grado di individuare la vittima file. L’utente viene offerto un codice univoco che può essere inserito in una decifrazione del sito web per inviare un pagamento. Le istruzioni sono sempre fornite in modo chiaro e conciso, in termini più complesso il processo, meno i pagamenti verranno ricevuti.

Una volta Petya viene scaricato in passato, che è stato distribuito da email con l’aiuto di un spambot—l’utente è richiesto di dare il malware controllo account utente. Se l’utente fa clic su “Sì”, Petya avvia con il citato processo inizia. Se si fa clic su “No”, invece, backup malware, noto come Mischa, esegue. Questo malware è una delle più tipiche varietà e la cifratura di singoli file prima di richiedere la vittima con le istruzioni di pagamento da dentro il sistema operativo.

Se la vittima è stato infettato da Mischa ed effettuato il pagamento, sono stati dati una password per decrittografare i file. Se infettato da Petya, la password decifra la Tabella File Master e ripara il Master Boot Record. In ogni modo, pagando il riscatto comporta l’utente riacquistare un accesso completo ai file senza subire danni permanenti.

Ransomware-come-un-Travestimento

Al contrario, ciò che ha motivato i maligni attore dietro la NotPetya infezioni non era il denaro. Il grugq la valutazione è stata confermata mercoledì da Kaspersky Lab malware analisti di Anton Ivanov e Orkhan Mamedov, che ha scritto che le vittime della NotPetya malware sono stati in grado di recuperare i propri file, anche se il riscatto è stato pagato.

Il grugq relazione è stata confermata anche ore prima da hacker di Matthieu Suiche, fondatore di Comaelo Tecnologie.

Queste valutazioni indicano che NotPetya è un “tergicristallo” progettato specificamente per distruggere i dati—non generare entrate. “Crediamo che il ransomware è stato, infatti, un richiamo per controllare il racconto mediatico, soprattutto dopo la WannaCry incidenti, per attirare l’attenzione su di un misterioso gruppo di hacker, piuttosto che uno stato nazionale attaccante come abbiamo visto in passato nei casi in cui sono coinvolti i tergicristalli come Shamoon,” ha scritto Suiche.

In altre parole, la sua valutazione è che NotPetya è il lavoro del governo hacker che hanno usato “ransomware” come travestimento per condurre un sofisticato attacco con lo scopo di infliggere il massimo danno. Suiche scrive che, a suo parere, lo scopo di questo stratagemma è stato per “controllare il racconto dell’attacco”, il che significa che gli hacker dietro cercato di indurre in errore la stampa.

Per cui può essere responsabile, attribuzione, come sempre, rimane problematico. Sembra, tuttavia, che il paziente zero può essere un software ucraina ditta chiamata MeDoc—se l’azienda ha confutato questa affermazione in un Facebook post di martedì.

Secondo alcuni esperti, l’epidemia ha iniziato dopo MeDoc è stato violato e NotPetya è stato spinto fuori per i propri clienti tramite un aggiornamento del software. Attacchi di questo genere, progettato per danneggiare la reputazione di una società di infliggere danni ai suoi clienti, sono ciò che è noto come un “supply chain attacco”.

Alcuni hanno dita Russia, che è intervenuta militarmente in Ucraina a partire dal 2014, che punta a NotPetya infezioni in Russia, olio di settore mitigati con sospetto facilità. “E ‘ un miracolo!” grugq dichiarato (con sarcasmo) nel suo martedì post.

Poiché il supporto è stato ingannato aiutando coprire le tracce dei responsabili, almeno per una volta—la questione ora è se la sicurezza i giornalisti potranno mai imparare a difendersi (e i loro lettori) da stati-nazione che impiegano questo tipo di manipolazione.

In ogni caso, è facile capire perché l’organizzazione criminale Janus non cerca di rafforzare la sua reputazione, supponendo di credito per uno. Questo è cyberwar e non è un bene per il business.


Date:

by