Image: Janus De La Cybercriminalité Solutions
Janus de la Cybercriminalité, les Solutions, l’auteur de Petya—le ransomware initialement attribué à mardi mondial de cyberattaques—refait surface sur Twitter mercredi soir, apparemment en offrant pour aider ceux dont les fichiers ne peuvent plus être récupérés.
Le geste altruiste, même si il n’aboutissent pas, est inhabituelle de la criminelle qui a lancé une pègre de l’entreprise en plaçant puissants exploits dans les mains des autres pour se déployer comme ils l’entendent. Il peut également indiquer simplement que Janus préfère ne pas être étiqueté avec la diffusion de “NotPetya”—ainsi nommé par les experts de Kaspersky Lab, qui a lui-même cherché à différencier entre Janus ” ransomware et celui qui a travaillé le chaos à travers l’Europe cette semaine.
Il y a un consensus parmi les spécialistes des programmes malveillants qui NotPetya est en fait un essuie-glace—malware conçu pour infliger des dommages permanents—pas ransomware comme Petya, qui a donné à ses victimes la possibilité de récupérer leurs données pour un prix.
La première analyse de ce type a été proposé mardi par le chercheur en sécurité de la grugq, qui a écrit: “La ressemblance superficielle avec Petya est que la peau en profondeur. Bien qu’il est important de partage de code, le réel Petya était une entreprise criminelle pour faire de l’argent. Ce n’est certainement pas conçu pour faire de l’argent. Il est conçu pour se propager rapidement et causer des dommages, avec un plausible contestable couverture de ” ransomware.’”
Dans un tweet mercredi soir, le visage de Janus est venu à la vie après sept mois de silence, ce qui suggère que les fichiers verrouillés par NotPetya peut être récupérée à l’aide d’un Janus de la clé privée. Au moment de l’écriture, ils ont encore à élaborer.
Ransomware-as-a-Service
Au début de 2016, Janus a lancé un darknet site web basé sur un marché noir modèle d’affaires appelé Ransomware-as-a-Service (RaaS). Tout simplement, ils ont offert d’autres criminels l’accès à un système sophistiqué de ransomware plate-forme de distribution. Ses clients, après avoir payé les frais d’inscription nominale, pourrait utiliser la plate-forme et, en échange, Janus a reçu une coupe de l’ensemble de la rançon payée. Les clients suivi des taux d’infection via une simple interface web, qui leur a permis également d’ajuster la rançon montants. Janus, qui a lui-même présenté comme un “professionnel de la cybercriminel” de l’organisation, de même offert un soutien technique, de l’atténuation des rapports de bogues et de répondre aux demandes de nouvelles fonctionnalités de sa version bêta de la plateforme.
Le modèle de revenu a été conçu spécialement pour les clients qui se sont retirés dans la plupart des rançons. Ceux qui ont recueilli moins de 5 bitcoin en rançon par semaine, par exemple, reçu que 25 pour cent de la coupe, tandis que ceux de la collecte de plus de 125 bitcoin reçu de 85% des parts.
Dans le passé, RaaS les concessionnaires essentiellement limité l’accès commercial à ransomware qui exploite le bien connu et largement corrigé des vulnérabilités. Janus, cependant, n’était pas baiser autour. Le groupe est assez unique en ce que son produit est sophistiqué et, à l’époque, encore très efficace.
Petya, le malware qui n’était pas derrière, mardi, à une éclosion en dépit de la généralisation des rapports de cela dans les médias—seulement la moitié de Janus, la charge utile.
Contrairement à la plupart des ransomware, qui quitte le système d’exploitation intacte, tandis que le cryptage des fichiers individuels, Petya crypte l’ensemble des parties de l’une de ses victimes disque dur. Petya, au lieu de cela, remplace l’ordinateur de l’Enregistrement d’Amorçage Maître, le verrouillage de l’utilisateur du système d’exploitation. La Table de Fichiers Maîtres est alors codé en laissant l’ordinateur incapable de localiser à tout de la victime fichiers. L’utilisateur est offert un code unique, qui peut être conclu à un décryptage site web afin de soumettre un paiement. Les instructions sont toujours offerts en termes clairs et concis—le plus complexe le processus, moins les paiements seront reçus.
Une fois Petya est téléchargé dans le passé, il a été distribué par e-mails avec l’aide d’un spambot—l’utilisateur est invité à donner le malware contrôle de compte d’utilisateur. Si l’utilisateur clique sur “Oui”, Petya lance et le processus mentionné ci-dessus commence. Si on clique sur “Non” au lieu de cela, la sauvegarde des logiciels malveillants, connu comme Mischa, s’exécute. Ce malware est de la plus typique de la variété et de crypter des fichiers individuels, avant de demander à la victime avec les instructions de paiement à partir de l’intérieur du système d’exploitation.
Si la victime a été infecté par Mischa et effectué le paiement, ils ont reçu un mot de passe pour déchiffrer les fichiers. En cas d’infection par Petya, décrypte le mot de passe de la Table de Fichiers Maître et répare le Master Boot Record. De toute façon, payer la rançon des résultats à l’utilisateur de retrouver un accès complet à leurs fichiers sans en subir des dommages permanents.
Ransomware-comme-un-Déguisement
À l’inverse, ce qui a motivé la personne malveillante derrière la NotPetya infections n’était pas de l’argent. Le grugq de l’évaluation a été confirmée mercredi par Kaspersky Lab analystes de logiciels malveillants, Anton Ivanov et Orhan Mamedov, qui a écrit que les victimes de la NotPetya les logiciels malveillants ne peuvent pas récupérer leurs fichiers, même si la rançon a été versée.
Le grugq rapport a également été confirmée quelques heures plus tôt par le hacker Matthieu Suiche, fondateur de Comaelo Technologies.
Ces évaluations indiquent que NotPetya est un “essuie-glace” spécialement conçu pour détruire des données—pas de générer des revenus. “Nous croyons que le ransomware a été, en fait, un leurre pour contrôler les médias récit, surtout après la WannaCry incidents, afin d’attirer l’attention sur un mystérieux groupe de hackers plutôt que d’un état national attaquant comme nous l’avons vu dans le passé, dans les cas où les essuie-glaces comme Shamoon,” a écrit Suiche.
En d’autres termes, son évaluation est que NotPetya est le travail du gouvernement, les hackers qui ont utilisé “ransomware” comme un déguisement, afin de mener une attaque informatique sophistiquée dans le but d’infliger le maximum de dégâts. Suiche écrit que, dans son avis, le but de cette ruse est de “contrôler le récit de l’attaque, ce qui signifie que l’pirates derrière elle cherchait à tromper la presse.
Qui peut être responsable, à l’attribution, comme toujours, reste problématique. Il semble, cependant, que le patient zéro peut être un ukrainien de logiciels d’entreprise appelé Médoc—si la société a réfuté cette allégation dans un Facebook post le mardi.
Selon plusieurs experts, l’épidémie a débuté après le Médoc a été violée et NotPetya a été poussé à ses clients par le biais d’une mise à jour du logiciel. Des attaques de ce genre, conçu pour endommager la réputation d’une entreprise en infligeant des dommages sur ses clients, sont ce qu’on appelle une “chaîne d’approvisionnement ” attaque”.
Certains ont pointé du doigt la Russie, qui est intervenue militairement en Ukraine depuis 2014, pointant vers NotPetya les infections de la Russie secteur de l’huile de atténués avec les suspects facilité. “C’est un miracle!” the grugq déclaré (ironique) dans son mardi post.
Depuis que les médias ont été trompés en aidant couvrir les traces de ceux qui sont responsables—au moins pour un temps—la question est maintenant de savoir si la sécurité des reporters aurez jamais apprendre à se défendre (et leurs lecteurs) des états-nations qui emploient ce type de manipulation.
Dans tous les cas, il est facile de voir pourquoi l’organisation criminelle de Janus ne cherche pas à renforcer sa réputation en supposant crédit pour un. C’est la cyberguerre et il n’est pas bon pour les affaires.