Digital security forskere sier malware angrep som spres fra Ukraina viste seg å være fokusert på å skade IT-systemer
@alexhern
Onsdag 28. juni 2017 15.08 BST
Først publisert onsdag 28. juni 2017 12.46 BST
En ransomware angrep som rammet minst 2000 enkeltpersoner og organisasjoner over hele verden på tirsdag ser ut til å ha vært bevisst konstruert for å skade IT-systemer heller enn å presse penger, ifølge sikkerhetseksperter.
Angrepet begynte i Ukraina, og spres gjennom en hacket ukrainske regnskaps-utvikler programvare til bedrifter i Russland, vest-Europa og USA. Programvaren krevde betaling av $300 (kr 230) for å gjenopprette brukerens filer og innstillinger.
Den skadelige programvaren er avansert inntrenging teknikker var i sterk kontrast med sin rudimentære betaling infrastruktur, i henhold til et pseudonym sikkerhet forsker kjent som “grugq”.
Er det tryggere å bruke en app eller en nettleser for bank?
Les mer
Forskeren sa programvaren ble “definitivt ikke laget for å tjene penger”, men “å spre seg raskt og kan forårsake skade, [bruker] plausibly deniable dekke av “ransomware’”.
Denne analysen ble støttet av UC Berkley akademiske Nicholas Weaver, som fortalte infosec blogg Krebs på Sikkerhet: “jeg er villig til å si med minst moderat tillit til at dette var en bevisst, skadelig, ødeleggende angrep eller kanskje en test forkledd som ransomware.”
Den NotPetya malware er så kalt fordi mens den deler koden med en tidligere ransomware stamme kalt Petya, det er “en ny ransomware som ikke har blitt sett før”, ifølge sikkerhetsforskere ved Kaspersky Lab. Det krever infiserte brukere til å sende $300 i cryptocurrency bitcoin for en betaling-adresse som vises hardkodet inn i programvaren.
Adressen for å sende betalingen og en 60-karakter, case-sensitive “personlig installasjon-tasten”, er bare presentert i tekst på løsepenger skjermen, og krever en bekreftelse på e-post skal sendes til en adresse som er arrangert av det tyske e-postleverandøren Posteo.
Posteo raskt lukket e-post konto, noe som betyr at selv om ofrene betalt, ville de ikke være i stand til å dekryptere sine datamaskiner.
“Hvis dette godt konstruert og meget laget ormen var ment til å generere inntekter, denne betalingen rørledningen var muligens den verste av alle alternativer (kort for ‘send en personlig sjekk til: Petya Betalinger, PO Box …’),” grugq sa.
I motsetning til betaling infrastruktur, malware infeksjon teknikker ble beskrevet som “godt skrevet”, ved hjelp av en rekke ulike metoder for å sikre maksimal skade de nettverkene som den trenger.
NotPetya, som bruker NSA hacking verktøyet EternalBlue å enterWindows-opererte maskiner med oppdaterte sikkerhet, stjeler passord i et forsøk på å få administrator-tilgang over hele nettverk. Det begynner så å spre seg som en tvungen oppdatering til alle maskiner på nettverket, før kryptere sine harddisker.
Men i motsetning til WannaCry, malware som drevet en global ransomware angrepet i forrige måned, NotPetya ikke inneholde kode som gjør det mulig å la et nettverk når det har spredd seg.
De fleste av de infeksjoner – 60%, ifølge Kaspersky – er i Ukraina, hvor regnskap programvare som ser ut til å ha innført malware er en av to lovlig mandat programvare suites brukes til fil avgifter.
Minst en av de store ikke-ukrainske organisasjoner som er berørt, dansk shipping firma Maersk, dukket også opp til å bruke programvaren i henhold til en jobb å poste delt på Twitter.
Ukraina har antydet at Russland kan ha stått bak angrepet, som rammet på slutten av ukrainas grunnlovsdag, som feirer landet er delt fra Sovjetunionen. Russland annektert Krim fra Ukraina i 2015 og pro-Russland separatister fortsette å kjempe regjeringsstyrker i den østlige delen av landet.
Kiev har tidligere anklaget Russland for en rekke av cyber-angrep, som Russland benekter. Russiske selskaper ble også rammet av NotPetya, inkludert oljeselskapet Rosneft som sa kassen på noen bensinstasjoner ble berørt uten å tilby ytterligere detaljer.
Ukraina sa onsdag at den hadde inneholdt angripe og “alle strategiske eiendeler, inkludert de som er involvert i å beskytte statlige sikkerhet, jobber normalt”.
Å finne gjerningsmannen av angrep er vanskelig, sa Mark McArdle, chief technical officer på cybersecurity firmaet eSentire. “Finne ugjendrivelige bevis som knytter en angriper til et angrep er nesten uoppnåelig, så alt koker ned til forutsetninger og dom.”
Den Kreml-talsmann Dmitrij Peskov sa: “[angrepet] igjen beviser den russiske avhandlingen at en slik trussel krever samarbeid på globalt nivå.”