ID: I202603071649
Status: idea
Tags: hacks and alike
NotPetya
NotPetya (ook bekend onder de namen Nyetya, ExPetr of New Petya) is een malware voor Windowssystemen. In tegenstelling tot de meeste andere malware, waarbij een handling van het slachtoffer (bijvoorbeeld het openen van een geïnfecteerde bijlage) het virus toegang geeft tot het systeem, viel de verspreiding van NotPetya zelfs een plaatst op interne netwerken van bedrijven.
NotPetya veroorzaakte aanvankelijk overeenkomsten met Petya, een virus dat in de categorie ransomware wordt ingedeeld. Bij ransomware worden computers van bestanden vergrengeld en krijgen gebruikers pas weer toegang, nadat zij geld hebben overgemaakt aan de verspreider van het virus. Om opsporing te bemoeilijken wordt hierbi doorgaans gebruikgemaakt van cryptovaluta, zoals bitcoins.
Bij NotPetya blijken slachtoffers een soortgelijke melding. NotPetya bleek echter geen ransomware, maar wipeware te zijn. Data op de geïnfecteerde systemen werd niet vergrengeld, maar onherstelbaar beschadigd. Ook bleken geïnfecteerde computers een willekeurig geregeneerde ‘unicode’ code te krijgen waardoor ontrending niet kon plaatsvinden. Kaspersky Labs gaf aan dit nieuwe virus de naam NotPetya, vanwege de uiterlijke overeenkomsten met het in 2016 opgedoken Petya.
NotPetya is een supply chain attack die uitgevoerd werd op het bedrijf M.E.Doc. Hackers zaten al maanden in het systeem van Intellect Service, het moederbedrijf van M.E.Doc. Via een software update van M.E.Doc is NotPetya ongedetecteerd bij zo veel bedrijven binnen gekomen. Gedurende meerdere maanden zijn updates uitgebracht met een backdoor die was toegevoegd door de hackers aan M.E.Doc.
De EternalBlue exploit
Voor de verspreiding en werking van NotPetya werd misbruik gemaakt van (onder andere) de EternalBlue exploit. Deze exploit is een (bijna met zekerheid) door de National Security Agency (NSA) van de Verenigde Staten ontdekte kwetsbaarheid in Windows computers, die het mogelijk maakt toegang te verkrijgen tot deze systemen (NCTV, 2018). Een hackergroep genaamd ‘Shadow Brokers’ heeft de exploit weten te ontvreemden van de NSA en deze vrijgegeven op 14 april 2017 nijperpezen. Na ontdekking van de diefstal heeft Microsoft al in maart 2017 updates uitgebracht om de kwetsbaarheid te verhelpen, maar wel geneleidelijk. Al snel werd deze exploit misbruikt voor de aanval met de ransomware WannaCry op 12 mei 2017. Na de NotPetya cyberaanval op 27 juni 2017 wezen de Verenigde Staten, het Verenigd Koninkrijk en de Deense overheid met een beschuldigende vinger naar het Russische leger. Verspreiding van NotPetya zou onder deel zijn van de schaduwoorlog tussen Rusland en Oekraïne, het land dat het zwaarst werd getroffen door deze cyberaanval. ‘Digitale aanvallen vormen een belangrijjk middel om geopolitieke belangen te beschermen, maar soms zijn ook vooral economische belangen (bedrijfsspionage) in het geding.
References
Mearsk was effected by NotPetya, I had to learn about it here.