Så är den nya Ransomware Attack Petya eller NotPetya?

0 Shares

Igår rapporterade vi om den senaste ransomware -attacken och kallade den “Petya.” Men många experter och nyhetskällor rapporterade attacken under ett namn som bokstavligen inte kunde vara mer motsatt: “NotPetya.” Så vad är skillnaden? Varför är en cyberattack så svår att identifiera att vi inte alla kan enas om dess titel?

Fallet för Petya

Du har hört talas om ankprovet: Om det går som en anka och kvakar som en anka är det en. Här är listan över likheter som den senaste attacken delar med ransomware som redan kallas Petya, direkt från Forcepoint Security Labs provanalys. Enligt dem kan den nya attacken:

  • Kryptera filer på disken utan att ändra filtillägget;
  • Tvinga om maskinen vid infektion;
  • Kryptera Master Boot Record på berörda maskiner;
  • Presentera en falsk CHKDSK -skärm som omslag för krypteringsprocessen; och
  • Presentera en nästan identisk lösenordskrav efter avslutad verksamhet.

Kort sagt, attacken fungerar med samma taktik som Petya historiskt har använt.

Fallet för NotPetya

Angreppet kan dock inte ens betecknas som “ransomware”. Denna term hänvisar till attacker som har för avsikt att lagra data för en lösensumma, och returnerar den om företaget är villigt att ta ut bitcoins som behövs för att återfå åtkomst till sina känsliga data. Och tydligen förstör den nya attacken information direkt. Här är ett inlägg från Matt Suiche, grundare av Comae Technologies, som förklarar skillnaden mellan ransomware och en “torkare”.

”Målet med en torkare är att förstöra och skada. Målet med en ransomware är att tjäna pengar. Olika avsikter. Olika motiv. Olika berättelser. En ransomware har förmågan att återställa dess modifiering, t.ex.

Medan Petya 2016 angriper modifierad data på ett sätt som gör att data kan återställas. Men 2017 gör Petya en mängd irreversibel skada. En e -postadress var en gång tillgänglig för att skicka lösen – vilket fick pressen att täcka attacken som om det var ransomware – men den har sedan gått ned.

“Vi tror att ransomware i själva verket var ett lock för att kontrollera mediaberättelsen”, förklarade Suiche och tillade ett stycke senare, “Angriparen tog en befintlig ransomware som han packade om.

[…] Det faktum att låtsas vara en ransomware samtidigt som det faktiskt är en nationalstatsattack – särskilt eftersom WannaCry visade att utbredd ransomware inte är ekonomiskt lönsam – är enligt vår mening ett mycket subtilt sätt från angriparen att kontrollera berättelsen om attacken. ”

Oavsett om du kallar det Petya eller NotPetya, är det samma hot, och du bör vidta de förebyggande åtgärder som vi skisserade igår för att hålla dig måttligt säker från nationalstaternas framtida attacker.

Läs mer om cybersäkerhet på TechCo

0 Shares