Digital säkerhet forskare säger malware attack som sprider sig från Ukraina som verkade vara fokuserat på att skada DET system
@alexhern
Onsdag 28 juni 2017 15.08 BST
Först publicerades den onsdag 28 juni 2017 12.46 BST
En ransomware attack som påverkas minst 2 000 individer och organisationer över hela världen på tisdagen verkar ha varit medvetet utformad för att skada DET system snarare än att pressa pengar, enligt säkerhetsforskare.
Attacken började i Ukraina, och sprids genom en hackad ukrainska bokföring systemutvecklare till företag i Ryssland, västra Europa och USA. Programmet krävde betalning på $300 (£230) för att återställa användarens filer och inställningar.
Malware är advanced intrusion tekniker som stod i skarp kontrast med dess rudimentära betalning infrastruktur, enligt en pseudonyma säkerhet forskare som kallas “grugq”.
Är det säkrare att använda en app eller en webbläsare för bank?
Läs mer
Forskaren sade att programmet var “definitivt inte utformat för att tjäna pengar” men “att sprida sig snabbt och orsaka skada, [hjälp] rimligen förnekas, att täcka av “ransomware ” som”.
Detta var en analys som stöds av UC Berkley akademiska Nicholas Weaver, som berättade infosec blogg Krebs på Säkerheten: “jag är villig att säga med minst måttlig förtroende för att detta var en medveten, illvillig, destruktiva angrepp eller kanske ett test förklädd som ransomware.”
Den NotPetya malware är så kallade eftersom medan det aktier kod med en tidigare ransomware stam som kallas Petya, det är “en ny ransomware som inte har sett förut”, enligt säkerhetsforskare på Kaspersky Lab. Det kräver infekterade användare att skicka $300 i cryptocurrency bitcoin för att en betalning adress som visas hårdkodade i programmet.
Adress för att skicka betalningen och ett 60-karaktär, case-sensitive “personlig installation nyckel”, är endast presenteras i sms: a på lösen skärmen, och kräver en bekräftelse av e-post ska skickas till en adress som är värd den tyska e-postleverantör Posteo.
Posteo stängde snabbt e-postkonto, vilket innebär att även om offren betalade, skulle de inte kunna dekryptera deras datorer.
“Om detta välutvecklade och mycket utformad mask var tänkt att generera intäkter, betalning ledningen var kanske den sämsta av alla alternativ (kort för att skicka en personlig check att: Petya Betalningar, PO Box …’),” grugq sagt.
I motsats till betalning infrastruktur, malware infektion är tekniker som beskrivs som “välskriven”, med hjälp av ett antal olika metoder för att säkerställa maximal skada nätverk det tränger igenom.
NotPetya, som använder NSA hacking verktyg EternalBlue att enterWindows-styrda maskiner med ouppdaterad säkerhet, stjäl lösenord i ett försök att få administratörsåtkomst över hela nätverket. Det börjar då att sprida sig som en påtvingad uppdatering till alla datorer på nätverket, innan kryptera sina hårddiskar.
Men till skillnad från WannaCry, malware som drivs av en global ransomware attacken förra månaden, NotPetya inte innehåller någon kod som gör det möjligt att lämna ett nätverk när det har spridit sig.
De flesta av de infektioner – 60%, enligt Kaspersky – är i Ukraina, där de bokföringsprogram som tycks ha infört malware är ett av två lagstadgade programvara sviter som används för att deklarera.
Åtminstone en av de största icke-ukrainska organisationer drabbats, danska rederiet företaget Maersk, föreföll också att använda programvaran, enligt en platsannons som delas på Twitter.
Ukraina har föreslagit att Ryssland kan ha legat bakom attacken, som inträffade strax före Ukraina författning dag, som firar landets delning från Sovjetunionen. Ryssland är fogat Krim från Ukraina 2015 och pro-Ryssland separatister fortsätta att kämpa för regeringens trupper i östra delen av landet.
Kiev har tidigare anklagat Ryssland för en rad it-attacker, som Ryssland förnekar. Ryska företag var också drabbats av NotPetya, inklusive Rosneft som sagt kassaregister vid vissa bensinstationer påverkades utan att erbjuda ytterligare information.
Ukraina sade på onsdagen att det hade innehållit attack och “alla strategiska tillgångar, inklusive de som är inblandade i att skydda statens säkerhet, arbetar normalt”.
Hitta förövaren av attack är svårt, sade Mark McArdle, teknisk chef på it-företaget eSentire. “Hitta ovedersägliga bevis som binder en angripare att en attack är nästan ouppnåelig, så allt kokar ner till antaganden och dom.”
Kremls talesman Dmitrij Peskov sade: “[- attack] på gång visar sig den ryska tesen att ett sådant hot kräver ett samarbete på global nivå.”