Petya

Familie van cryptoware

Petya is een familie van cryptoware die in 2016 is ontdekt. Deze malware richt zich op Microsoft Windows-gebaseerde systemen en infecteert het master boot record om een payload uit te voeren die de NTFS bestandstabel versleutelt, waarna betaling gevraagd wordt in bitcoins waarmee weer toegang tot het systeem zou worden verkregen.

Varianten van Petya zijn voor het eerst waargenomen in maart 2016. Zij verspreidden zich via bestanden die met e-mails werden meegestuurd. In juni 2017 werd een nieuwe variant van Petya gebruikt voor een wereldwijde cyberaanval, waarbij voornamelijk Oekraïne het doelwit was. De nieuwe variant verspreidt zich via de EternalBlue exploit, waarvan algemeen wordt aangenomen dat dit door de National Security Agency (NSA) is ontwikkeld en die eerder dit jaar door de WannaCry ransomware werd gebruikt. Kaspersky Lab refereerde aan deze nieuwe versie met de naam NotPetya om het te onderscheiden van de varianten uit 2016 en vanwege deze verschillen in de werking. Daarnaast is het zo dat hoewel de malware zich presenteert als ransomware, het de eigen wijzigingen niet ongedaan kan maken, en om die reden ook wel als een wisser (wiper) kan worden geclassificeerd.

Geschiedenis

bewerken

Petya werd in maart 2016 ontdekt; Check Point gaf aan dat hoewel de malware minder infecties veroorzaakte dan andere ransomware die in het begin van dat jaar actief was, zoals CryptoWall, het opmerkelijke verschillen in werking vertoonde waardoor het "onmiddellijk werd gekenmerkt als de volgende stap in de evolutie van malware".[1] Een andere variant van Petya die in mei 2016 werd ontdekt bevatte een alternatieve payload die gebruikt werd als het de malware niet lukte om beheerdersrechten te verkrijgen.[2]

Cyberaanval van 2017

bewerken
 
Een melding van Petya over losgeld die werd getoond op een besmet systeem

Op 27 juni 2017 begon er een zware wereldwijde cyberaanval waarbij onder meer Oekraïense bedrijven het eerst meldden hiervan slachtoffer te zijn geworden. Hiervoor werd een nieuwe variant van Petya gebruikt. Kaspersky Lab meldde op die dag infecties in Frankrijk, Duitsland, Italië, Polen, het Verenigd Koninkrijk en de Verenigde Staten, maar dat de meeste infecties in Rusland en Oekraïne waren, waarbij aanvankelijk meer dan 80 bedrijven werden aangevallen, waaronder de Nationale Bank van Oekraïne. ESET schatte op 28 juni 2017 dat 80% van alle infecties in Oekraïne waren, en dat Duitsland op de tweede plaats stond met ongeveer 9% van de infecties.[3] Soms werden bedrijfsnetwerken via de Oekraïense vestigingen besmet, zoals de Luxemburgse vestiging van trustkantoor TMF. Op diezelfde dag meldde de persvoorlichter van de Russische president Vladimir Putin, Dmitry Peskov, dat de cyberaanval geen ernstige schade had aangebracht in Rusland.

Beveiligingsspecialist Christiaan Beek van McAfee gaf aan dat deze variant was ontworpen om zich snel te verspreiden en dat de malware zich richtte op "complete energiemaatschappijen, de energievoorziening, busstations, benzinestations, het vliegveld en banken".[4][5] Kaspersky gaf deze variant de naam "NotPetya", aangezien er aanzienlijke veranderingen waren in de werking hiervan ten opzichte van eerdere varianten.

Het losgeld wordt in bitcoins opgeëist, vermoedelijk om het witwassen van de opbrengsten te vereenvoudigen,[6][7] al is niet duidelijk of financieel gewin het doel was van de cybercriminelen achter deze aanval. Iedere geïnfecteerde computer gaf namelijk een verwijzing naar hetzelfde rekeningnummer, dat vrijwel direct geblokkeerd werd zodat het dezelfde dag al onmogelijk was de daders te betalen.

Zie ook

bewerken