Bild: Janus Cybercrime-Lösungen
Janus Cybercrime-Lösungen, Autor von Petya—der Erpresser zunächst zugeschrieben Dienstag globalen Cyberattacken—tauchte auf Twitter am späten Mittwoch, die scheinbar anbieten, um zu helfen diejenigen, deren Dateien nicht mehr wiederhergestellt werden.
Die selbstlose Geste, auch wenn es nicht erweisen sich als fruchtlos, ist nicht charakteristisch für die kriminellen Syndikat, die ins Leben gerufen, eine Unterwelt enterprise Legend mächtigen exploits in den Händen der anderen zu implementieren, wie Sie sehen, passen. Es kann auch einfach zeigen, dass Janus würde es vorziehen, nicht zu versehen, die mit der Verbreitung des “NotPetya”—so genannt, die von Kaspersky Lab, das hat selbst versucht, zu differenzieren zwischen Janus’ ransomware und arbeitete, Chaos in ganz Europa in dieser Woche.
Es ist Konsens unter malware-Experten, die NotPetya ist eigentlich eine wiper—malware entwickelt, um bleibende Schäden zufügen—nicht ransomware wie Petya, gab seinem Opfer die Möglichkeit der Wiederherstellung Ihrer Daten auf einen Preis.
Die frühesten Analyse dieser angeboten wurde am Dienstag von der security-Forscher der grugq, der schrieb: “Die oberflächliche ähnlichkeit mit Petya ist nur Haut tief. Zwar gibt es erhebliche code-sharing, die real Petya war ein kriminelles Unternehmen, um Geld zu verdienen. Dies ist definitiv nicht darauf ausgelegt, Geld zu machen. Dieses ist entworfen, um schnell verbreiten und Schäden verursachen, mit einem plausibel zu leugnenden cover von ‘ransomware.’”
In einem tweet am späten Mittwoch, die öffentliche Gesicht des Janus kam zu Leben, nach sieben Monaten des Schweigens, was darauf hindeutet, dass Dateien gesperrt durch NotPetya könnte wieder mit einem Janus privaten Schlüssel. Zum Zeitpunkt des Schreibens, Sie haben noch zu erarbeiten.
Ransomware-as-a-Service
Anfang 2016, Janus startete eine darknet-website basiert auf einem black-market business Modell genannt Ransomware-as-a-Service (RaaS). Einfach ausgedrückt, Sie bot andere kriminelle Zugang zu einer anspruchsvollen ransomware-distribution-Plattform. Seinen Kunden, nach Zahlung eine geringe Registrierungsgebühr, könnte die Plattform nutzen und im Austausch Janus erhielt einen Schnitt von alle das Lösegeld bezahlt. Die Kunden verfolgt die Infektionsraten über eine einfache web-Schnittstelle, die auch Ihnen erlaubt, passen Sie das Lösegeld beträgt. Janus, der hat sich vorgestellt als eine “professionelle Internetbetrüger” Organisation, sogar angeboten, technischer Unterstützung, die Reduzierung von bug-reports und Anfragen für neue Funktionen, um seine beta-Plattform.
Die Umsatz-Modell wurde speziell zum nutzen des Kunden, der gezogen in die Lösegeld-Zahlungen. Diejenigen, die gesammelt weniger, 5 bitcoin in Lösegeld pro Woche, zum Beispiel, erhielt nur 25 Prozent gekürzt, während diejenigen, die das sammeln von mehr als 125 bitcoin erhielt eine 85-Prozent-Anteil.
In der Vergangenheit, RaaS-Händlern beschränkt sich zumeist kommerziellen Zugang zu ransomware, die ausnutzt, bekannt und weit verbreitet-gepatchte Sicherheitslücken. Janus, war aber nicht ficken um. Die Gruppe ist ziemlich einzigartig, dass Ihr Produkt anspruchsvoll war und zu der Zeit noch sehr viel effektiver.
Petya, die malware war nicht hinter Dienstag Ausbruch—trotz der weit verbreiteten Berichte über dieses in den Medien—nur die Hälfte der Janus Nutzlast.
Im Gegensatz zu den meisten ransomware, bleibt das Betriebssystem erhalten, während die Verschlüsselung einzelner Dateien, Petya verschlüsselt ganze Teile seines Opfers Festplatte. Petya, stattdessen ersetzt der computer die Master Boot Record, sperren den Benutzer aus dem Betriebssystem. Die Master File Table ist dann verschlüsselt, wodurch der computer nicht in der Lage zu suchen, eine der Opfer-Dateien. Der Benutzer wird angeboten, ein einzigartiger code, der eingegeben werden kann, in dem eine Entschlüsselung website, um senden einer Zahlung. Die Anweisungen werden immer angeboten, Sie in klare und prägnante Begriffe—je komplexer der Prozess, desto weniger Zahlungen erhalten werden.
Einmal Petya heruntergeladen—in der Vergangenheit, es wurde verteilt durch E-Mails mit Hilfe eines spambot—der Benutzer wird aufgefordert, zu geben, die malware-user account control. Wenn der Benutzer klickt auf “ja”, Petya initiiert und der vorgenannte Prozess beginnt. Wenn Sie auf “Nein” statt, backup, malware, bekannt als Mischa, führt. Diese malware ist in der typischen Vielfalt und verschlüsselt einzelne Dateien, bevor Sie mit der Aufforderung, das Opfer mit Anweisungen für die Bezahlung von innerhalb des Betriebssystems.
Wenn das Opfer infiziert wurde von Mischa und machte die Zahlung, erhalten Sie ein Passwort zur Entschlüsselung der Dateien. Wenn infizierte by Petya, das Passwort entschlüsselt die Master File Table und repariert den Master Boot Record. So oder so, zahlt das Lösegeld Ergebnisse in der Benutzer Wiedererlangung der vollständigen Zugriff auf Ihre Dateien ohne leiden bleibende Schäden.
Ransomware-wie-ein-Verkleidung
Umgekehrt was motiviert die schädliche Schauspieler hinter der NotPetya Infektionen war nicht Geld. Der grugq Einschätzung bestätigte am Mittwoch, die von Kaspersky Lab malware-Analysten Anton Ivanov und Orkhan Mammadov, der schrieb, dass die Opfer der NotPetya malware waren nicht in der Lage sich zu erholen Ihre Dateien, selbst wenn das Lösegeld bezahlt wurde.
Der grugq Bericht wurde auch bestätigt Stunden früher von hacker-Matthieu Suiche, Gründer von Comaelo Technologien.
Diese Bewertungen zeigen, dass NotPetya ist ein “Scheibenwischer”, die speziell Daten zu zerstören—nicht Umsatz generieren. “Wir glauben, dass die ransomware wurde in der Tat eine Verlockung, die die Medien kontrollieren Erzählung, vor allem nach dem WannaCry Zwischenfälle, um die Aufmerksamkeit auf einige mysteriöse hacker-Gruppe anstatt einer staatlichen Angreifer wie wir gesehen haben in der Vergangenheit in Fällen beteiligt, dass die Scheibenwischer wie Shamoon”, schrieb Suiche.
In anderen Worten, ist seine Einschätzung, dass NotPetya ist die Arbeit der staatlichen Hacker, die verwendet “ransomware” als Tarnung für die Durchführung einer anspruchsvollen cyberattack für den Zweck zuzufügen maximalen Schaden. Suiche schreibt, dass seiner Meinung nach, den Zweck dieser list war, um die “Kontrolle der Erzählung von dem Angriff”, das heißt, der Hacker hinter Sie versuchte Irreführung der Presse.
An wen verantwortlich sein kann, der Zuordnung, wie immer, bleibt problematisch. Es scheint jedoch, dass der patient null kann eine Ukrainische software-Firma namens MeDoc—obwohl das Unternehmen widerlegt diese Behauptung in einem Facebook-post am Dienstag.
Laut mehreren Experten, der Ausbruch begann nach dem MeDoc, der verletzt wurde, und NotPetya herausgedrückt, um seine Kunden mit einem software-update. Angriffe dieser Art, entworfen, um Beschädigung der reputation eines Unternehmens von Schaden zuzufügen, auf seine Kunden, sind was ist bekannt als “supply-chain-Angriff.”
Einige haben gefingert Russland intervenierte militärisch in der Ukraine seit 2014, auf NotPetya-Infektionen in der Russischen öl-Sektor gemildert mit Verdächtiger Leichtigkeit. “Es ist ein Wunder!” the grugq erklärt (sarkastisch) in seinem am Dienstag veröffentlichen.
Da die Medien dazu gebracht wurde, zu helfen, die Spuren der Verantwortlichen—zumindest für eine Zeit—die Frage ist nun, ob die Sicherheit der Reporter jemals lernen, sich zu verteidigen (und Ihre Leser) von Nationalstaaten mit dieser einzigartigen Art von manipulation.
In jedem Fall ist es leicht zu sehen, warum die “kriminelle Organisation” Janus nicht suchen, um zu stärken Ihren Ruf durch die Annahme Kredit für einen. Das ist cyberwar und es ist nicht gut für das Geschäft.