Digital security forskere siger, at malware-angreb, der spredes fra Ukraine viste sig at være fokuseret på skadelige IT-systemer
@alexhern
Onsdag 28 juni 2017 15.08 BST
Først blev offentliggjort onsdag 28 juni 2017 12.46 BST
En ransomware angreb, der berøres mindst 2.000 personer og organisationer over hele verden på tirsdag ser ud til at have været bevidst manipuleret til at skade IT-systemer, snarere end at presse midler, ifølge sikkerhedseksperter.
Angrebet begyndte i Ukraine, og spredt gennem en hacket ukrainske regnskab software udvikler til virksomheder i Rusland, vesteuropa og USA. Den software, der krævede betaling for $300 (£230) at gendanne brugerens filer og indstillinger.
Den malware advanced intrusion teknikker, var i skarp kontrast med sin rudimentære betaling infrastruktur, ifølge en pseudonyme sikkerhedsekspert kendt som “den grugq”.
Er det sikrere at bruge en app eller en browser til netbank?
Læs mere
Forskeren sagde, at den software, der var “absolut ikke designet til at tjene penge”, men for “at sprede sig hurtigt og forårsage skade, [hjælp] plausibelt benægtes dække af “ransomware’”.
Denne analyse blev støttet af UC Berkley akademiske Nicholas Weaver, der fortalte infosec blog Krebs om Sikkerhed: “jeg er villig til at sige med mindst moderat tillid til, at dette var en bevidst, ondskabsfuld, ødelæggende angreb eller måske en test forklædt som ransomware.”
Den NotPetya malware er såkaldte fordi mens det deler kode med en tidligere ransomware stamme kaldet Petya, at det er “en ny ransomware, der ikke har været set før”, ifølge sikkerhedseksperter hos Kaspersky Lab. Det kræver inficerede brugere til at sende $300 i cryptocurrency bitcoin til en betaling, adresse, der vises hardcoded ind i softwaren.
Adressen til at sende betaling, og en 60-tegn, bogstaver “personlig installation nøgle”, er kun præsenteret i tekst på en løsesum på skærmen, og kræve en bekræftelse e-mail for at blive sendt til en adresse, der er hostet af den tyske e-mail-udbyder Posteo.
Posteo hurtigt lukket den e-mail konto, hvilket betyder, at selv hvis ofrene har betalt, ville de ikke være i stand til at dekryptere deres computere.
“Hvis denne velkonstruerede og meget udformet worm var beregnet til at generere indtægter, er denne betaling rørledningen var måske den værste af alle muligheder (kort for at ‘sende en personlig check til: Petya Betalinger, PO Box …’),” grugq sagde.
I modsætning til den betalingsinfrastruktur, malware-infektion teknikker blev beskrevet som “godt skrevet”, ved hjælp af en række forskellige metoder til at sikre størst mulig skade på det netværk, den trænger.
NotPetya, som bruger NSA hacking værktøj EternalBlue at enterWindows-styrede maskiner med unpatched sikkerhed, stjæler adgangskoder i et forsøg på at få administrator-adgang over hele netværket. Det så begynder at sprede sig som en tvungen opdatering til alle maskiner på netværket, før du krypterer deres harddiske.
Men i modsætning til WannaCry, den malware, der drevet en global ransomware angreb i sidste måned, NotPetya ikke indeholde kode, der gør det muligt at forlade et netværk, når den har spredt sig.
De fleste af de infektioner – 60%, ifølge Kaspersky – er i Ukraine, hvor den regnskabsmæssige software, som ser ud til at have indført den malware er en af de to pålagte softwarepakker, der anvendes til at indgive skatter.
Mindst en af de største ikke-ukrainske organisationer, der påvirkes, det danske shippingfirma Mærsk, syntes også at bruge softwaren i henhold til en jobannonce, der er delt på Twitter.
Ukraine har foreslået, at Rusland kan have stået bag angrebet, der ramte på tærsklen af Ukraines forfatning dag, hvor man fejrer landets split fra Sovjetunionen. Rusland er knyttet som bilag Krim fra Ukraine i 2015 og pro-Rusland separatister fortsætte med at bekæmpe regeringens tropper i den østlige del af landet.
Kiev har tidligere beskyldte Rusland for en række af cyber-angreb, som Rusland afviser. Russiske virksomheder blev også ramt af NotPetya, herunder olieselskab Rosneft, som sagde, kasseapparater på nogle benzinstationer blev ramt uden at give yderligere detaljer.
Ukraine sagde onsdag, det havde indeholdt angreb og “alle strategiske aktiver, herunder dem, der er involveret i at beskytte statens sikkerhed, arbejder normalt”.
At finde gerningsmanden til angrebet er svært, sagde Mark McArdle, chief technical officer i cybersecurity firma eSentire. “At finde uigendrivelige beviser for, at links for en hacker at et angreb er næsten uopnåelige, så alt kan koges ned til, antagelser og dom.”
Kreml-talsmand Dmitrij Peskov sagde: “[angrebet] igen viser det russiske tese, at en sådan trussel, der kræver samarbejde på globalt plan.”