Petya ransomware: en statligt finansierad attack eller inte

En utbredd ransomware-attack kallad Petya / Petrwrap med nära likhet med WannaCry-attackerna tidigare denna månad hade träffat maskiner i Spanien, Frankrike, Ukraina, Ryssland och några andra länder på tisdag, men den högsta effekten av attacken kändes i Ukraina, där ett antal statliga och privata organisationer påverkades.

Senare samma dag inaktiverades e-postkontot för hackare som var nyckeln till att dekryptera de berörda enheterna av e-postföretaget Posteo vilket resulterade i ett uppror eftersom berörda användare inte kommer att kunna ta emot dekrypteringsnyckeln även om de betalar ut lösen från 300 $ i Bitcoins.

Attackens omfattning på Ukraina var relativt mycket högre jämfört med andra länder och detta har fått många säkerhetsforskare och experter att tro att attacken bara kan ha varit en statsfinansierad attack mot Ukraina.

Eftersom Bitcoin-kontot som accepterade betalningar endast hade samlats över 10 000 dollar i lösenutbetalningar innan e-post-IDen stängdes, har detta lett till att forskare tror att det verkliga motivet bakom attacken inte var pengar utan att skada Ukraina.

Läs också: Vad är Ransomware och hur man skyddar mot det.

”Det faktum att låtsas vara ett ransomware samtidigt som det i själva verket är en nationstatsattack - särskilt eftersom WannaCry bevisade att utbrett ransomware inte är ekonomiskt lönsamt - är enligt vår åsikt ett mycket subtilt sätt från angriparen att kontrollera berättelsen av attacken, ”avslutade Comae's Matt Suiche.

Petya: Wiper, Not Ransomware; Eller inte

Petans ransomware lyckades samla in en liten summa och påverkade Ukrainas centralbank, tunnelbanetransporter, flygplats och Tjernobyl kraftverk, vilket ledde forskare att tro att attacken var statligt finansierad och specifikt riktad mot att påverka Ukrainas infrastruktur.

Säkerhetsforskare har funnit att Petya ransomware inte kunde ha dekrypterats.

”Efter en analys av krypteringsrutinen för skadlig programvara som använts i Petya-attackerna har vi tänkt att hotaktören inte kan dekryptera offrens disk, även om en betalning gjordes. Detta stöder teorin om att denna skadliga kampanj inte är utformad som en ransomware-attack för ekonomisk vinst. Istället verkar det vara utformat som en torkare som låtsas vara ransomware, ”uttalade Kaspersky Security-forskarna.

Inte bara det, de första infektioner skickades ut tillsammans med en uppdatering till MeDoc, ett ukrainskt redovisningsprogram. Även om det är oklart varför de ytterligare länderna riktades, om detta misstankar är sant, kan det väl vara att hjälpa till att dölja Petya som en världsomfattande ransomware-attack snarare än en statligt sponsrad attack mot Ukraina.

En av de främsta misstänkta för attacken är den ryska regeringen, som tidigare har hållits ansvarig för cyberattacker mot Ukrainas offentliga infrastruktur som inleddes strax efter annekteringen av Krim 2014.

Det finns många bevis som pekar på att Petya är en torkare och inte en Ransomware, men det är i bästa fall omständigt.

Det är mycket möjligt att dessa offentliga system från den ukrainska regeringen, liksom andra regeringar och privata organisationer i andra länder världen över, presenterade sig ett mjukt mål för hackarna och det var därför de attackerades.

Läs också: Ransomware Attacks on the Rise: Here is How to Stay Safe.

Om du pratar om felaktigt dekrypterings- och betalningssystem för Petya-ransomware-attacken, kunde det bara ha varit fallet med försumlig kodning och uppföljning av hackarna.

Även om angriparna inte kunde tjäna pengar, stjäl skadlig kod också referenser och annan information från de infekterade systemen, vilket kan visa sig vara användbart för ytterligare attacker.

Även om ingenting kan sägas med säkerhet om Petya-ransomware-attacken var ett fall av misslyckad hackning eller hybridkrig, är en sak säker att det måste finnas en bättre och mer pålitlig säkerhetsram på plats för att förhindra faror med sådan cyber attacker i framtiden.