F-Secure: Netwerkdeel Petya-ransomware in februari ontwikkeld

[Captain Kirk]

Het deel van de Petya-ransomware waardoor het netwerken kan infecteren is volgens het Finse F-Secure in februari al ontwikkeld, wat opmerkelijk is, aangezien de twee NSA-exploits die de malware gebruikt pas in april openbaar werden. "Er is bewijs dat de ontwikkeling van het onderdeel om zich via netwerken te verspreiden in februari is voltooid", zegt onderzoeker Andy Patel.

De Petya-ransomware maakt gebruik van de EternalBlue- en EternalRomance-exploits van de NSA om zich door netwerken heen te bewegen, alsmede het gebruik van gestolen beheerdergegevens. De twee NSA-exploits werden pas in april openbaar gemaakt door een groep genaamd Shadow Brokers, maar zouden dus al in februari zijn verwerkt binnen de Petya-ransomware. "Deze exploits passen binnen de netwerkmodule als een handschoen", zegt Patel. In de analyse van F-Secure worden de Petya-ontwikkelaars dan ook "vrienden van de Shadow Brokers" genoemd.

De WannaCry-ransomware maakte ook gebruik van de EternalBlue-exploit, maar de ontwikkelaars van deze ransomware kregen er pas toegang toe nadat de Shadow Brokers de exploit in april openbaar maakten. Daarnaast verdiende de manier waarop WannaCry de EternalBlue-exploit implementeerde geen schoonheidsprijs, gaat Patel verder. In het geval van Petya is dat een ander verhaal en is er uitgebreid getest.

De onderzoeker denkt dat de ontwikkelaars van Petya door de plotselinge verschijning van WannaCry, waardoor organisaties opeens de Windows-updates voor de SMB-lekken in Windows begonnen te installeren, hun deadline besloten aan te passen. Verder zou het gedeelte van de ransomware dat de Master Boot Record (MBR) van de harde schijf versleutelt in mei zijn getest via een waterhole-aanval op een Oekraïense site die eerder door het Russische anti-virusbedrijf Kaspersky Lab werd beschreven.

Patel laat verder weten dat de Petya-ransomware een "vendetta" tegen de anti-virussoftware van Kaspersky Lab heeft. Als de malware Kaspersky-software op het systeem aantreft overschrijft die de eerste 10 sectoren van de schijf met willekeurige data en herstart daarna de machine, waardoor die onbruikbaar achterblijft. Als laatste merkt de onderzoeker op dat sommige van de getroffen bedrijven geen duidelijke relatie met Oekraïne hebben of de MEDoc-software gebruikten, waardoor de ransomware zich initieel verspreidde. "Dit mysterie is een van de redenen waarom we nog niet op de samenzweringstrein zijn gesprongen", aldus Patel.

 

 

bron: security.nl