Ransomware ή Wiper: Μια ενδιαφέρουσα τροπή φαίνεται να λαμβάνει η πρόσφατη κυβερνοεπίθεση με το κακόβουλο λογισμικό Petya/Notpetya που έπληξε δεκάδες χώρες σε ολόκληρο τον κόσμο αυτή την εβδομάδα. Εμπειρογνώμονες ασφαλείας προσεγγίζουν ολοένα και περισσότερο την άποψη ότι το NοtPetya δεν πρόκειται για ένα συμβατικό ransomware. Όπως αναφέρουν μάλλον πρόκειται για ένα εργαλείο σαμποτάζ.
Οι εταιρείες και οι οργανισμοί που επλήγησαν από την κυβερνοεπίθεση, σε Ουκρανία, Ρωσία, ΗΠΑ, καθώς και σε άλλες χώρες της Ευρώπης, της Ασίας και της Αυστραλίας, δεν θα μπορούσαν ποτέ να ανακτήσουν τα δεδομένα τους.
Το WannaCry, ήταν ναι μεν καταστροφικό, αλλά ήταν ένα εργαλείο γεμάτο σφάλματα που δημιουργήθηκε από ερασιτέχνες. Το Petya, σύμφωνα με τους ειδικούς, δεν είναι κάποιο ερασιτεχνικό εργαλείο αλλά ένα πανίσχυρο ransomware που μπορεί να μολύνει οποιαδήποτε έκδοση των Windows. (Συμπεριλαμβανομένων και των Windows 10).
Από την άλλη:
Αρκετοί ερευνητές και εταιρείες ασφάλειας, συμπεριλαμβανομένης της Kaspersky, πιστεύουν ότι το κακόβουλο λογισμικό που εισέβαλε στους υπολογιστές απλώς μεταμφιεζόταν ως ransomware.
Το malware επωφελήθηκε από τον “θόρυβο” που κατάφερε να δημιουργήσει το WannaCry , κάτι που λειτούργησε σαν “δόλωμα” για τα μέσα μαζικής ενημέρωσης.
Και ενώ οι προγραμματιστές του προσπάθησαν να το κάνουν να μοιάζει με ransomware, οι ερευνητές επισημαίνουν ότι στην πραγματικότητα πρόκειται για ένα “wiper”, αφού σβήνει τμήματα που χρειάζεται ένας δίσκος για να τρέξει.
Ransomwares and hackers are becoming the scapegoats of nation state attackers. Petya is a wiper not a ransomware.https://t.co/lkrfWMw2Zl
— Matt Suiche (@msuiche) June 28, 2017
Βάσει λοιπόν των ισχυρισμών των ερευνητών ασφάλειας, ακόμα κι αν πραγματοποιηθεί πληρωμή των απαιτούμενων λίτρων, ο δίσκος των θυμάτων δεν μπορεί να επανακτηθεί.
Αυτό οφείλεται στο γεγονός ότι το NotPetya παράγει ένα τυχαίο αναγνωριστικό μόλυνσης (infection ID) για κάθε υπολογιστή. Ένα ransomware που δεν χρησιμοποιεί ένα διακομιστή C&C, όπως το NotPetya, χρησιμοποιεί το αναγνωριστικό μόλυνσης για να αποθηκεύει πληροφορίες για κάθε μολυσμένο υπολογιστή, μαζί με το κλειδί αποκρυπτογράφησης.
Επειδή το NotPetya παράγει τυχαία δεδομένα για το συγκεκριμένο αναγνωριστικό, η διαδικασία αποκρυπτογράφησης είναι αδύνατη, αναφέρει ο ερευνητής Anton Ivanov, της Kaspersky.
“Τι σημαίνει αυτό; Πρώτα απ ‘όλα, αυτό είναι το χειρότερο νέο για τα θύματα – ακόμα και αν πληρώνουν τα λύτρα δεν θα πάρουν τα δεδομένα τους πίσω. Δεύτερον, αυτό ενισχύει τη θεωρία ότι η επίθεση δεν κατευθύνεται από οικονομικά κίνητρα, αλλά καταστρεπτικά”, προσθέτει ο Ιβάνοφ.
[su_note note_color=”#e8eed6″ text_color=”#494134″ radius=”1″]Πώς δρα και διαδίδεται το Petya/NotPetya. Πως μπορούμε να προστατευτούμε.[/su_note]
Ransomware, Wiper ή κάτι άλλο;
Η Kaspersky αναφέρει ότι πάνω από το 60 τοις εκατό των επιθέσεων πραγματοποιήθηκαν στην Ουκρανία. Η Ρωσία είναι η δεύτερη στην λίστα με 30 τοις εκατό. Και αυτά είναι μόνο τα αρχικά ευρήματα της εξελισσόμενης έρευνας της εταιρείας.
Οι αρχικές αναλύσεις διαψεύδονται σιγά σιγά και η ιστορία φαίνεται πως παίρνει μια εντελώς διαφορετική τροπή. Όλο και περισσότεροι ερευνητές θεωρούν ότι πρόκειται για μία γενικευμένη κυβερνοεπίθεση, ενδεχομένως με πολιτικά κριτήρια. Επισημαίνουν όμως ότι το NotPetya δεν είναι ransomware, αλλά ένα κακόβουλο λογισμικό που κάνει wipe τα συστήματα, καταστρέφοντας τα αρχεία.
Η MalwareTech φαίνεται ωστόσο να διαφωνεί με την προσέγγιση αυτή ισχυριζόμενη πως το λογισμικό καταστρέφει μόνο τα πρώτα 25 sections του δίσκου.
Όπως αναφέρουν πολύ σωστά οι ερευνητές:
“Αυτοί οι τομείς του δίσκου είναι απαραίτητοι, αλλά είναι επίσης άδειοι σε τυποποιημένα installations των Windows. Είναι λίγο δύσκολο να πιστέψουμε ότι οι εγκληματίες του κυβερνοχώρου δεν το γνώριζαν αυτό.”
Οι ερευνητές της MalwareTech συμφωνούν ωστόσο ότι οι χάκερ δεν είχαν σαν κίνητρό τους το οικονομικό όφελος.
Ransomware Ποιος βρίσκεται πίσω από την επίθεση;
Και ενώ οι ερευνητές συνεχίζουν τις αναλύσεις, τα ερωτήματα που προκύπτουν τώρα είναι “Ποιος το έκανε;” και “Γιατί;”
Προς το παρόν δεν έχουμε κάποια απάντηση σε αυτό. Όμως οι ουκρανικές εταιρείες κυβερνητικής ασφάλειας και υπηρεσίες πιστεύουν ότι αυτό που συνέβη ήταν μια κυβερνητικά επιχορηγούμενη επίθεση. Η συγκεκριμένη επίθεση είχε ως στόχο να προκαλέσει πλήγμα στους ουκρανικούς θεσμούς.
Όταν ρωτήθηκε αν πιστεύει ότι η Ρωσία είναι πίσω από όλα αυτά, ο επικεφαλής του τμήματος Center for Cyber Protection της Ουκρανίας απάντησε:
«Είναι δύσκολο να φανταστεί κανείς κάποιον άλλον που θα ήθελε να το κάνει αυτό».
