'Cyberaanval Petya moest gegevens permanent wissen'

Het 'gijzelvirus' Petya dat dinsdag bedrijven over de hele wereld trof, was helemaal geen gijzelvirus. De schadelijke software deed alleen alsof.

Dat stellen de beveiligingsbedrijven Comae Technologies en Kaspersky in nieuwe analyses van het virus, dat inmiddels ook NotPetya wordt genoemd. De vernietigingssoftware trof dinsdag onder meer Maersk, TNT Express en veel Oekraïense bedrijven.

Net als bij de recente aanval met WannaCry-ransomware kregen slachtoffers van Petya een scherm te zien waarin om losgeld werd gevraagd. Uit de analyses blijkt echter dat het voor de aanvaller helemaal niet mogelijk is om gegevens nog te ontsleutelen na de aanval.

Waar ransomware er normaal gesproken voor zorgt dat gegevens op een omkeerbare manier ontoegankelijk worden gemaakt, is de nieuwe Petya-variant een 'wiper'. Dat houdt in dat bestanden permanent worden verwijderd. 

46

Wat is ransomware WannaCry?

Overheid

Verschillende beveiligingsexperts zeiden eerder al dat geld verdienen niet de voornaamste reden achter de verspreiding van Petya kan zijn geweest. Het e-mailadres dat werd gebruikt om te communiceren met slachtoffers kon namelijk makkelijk worden geblokkeerd, waardoor het überhaupt al onmogelijk was geworden om nog te vragen om ontsleuteling van gegevens.

Volgens oprichter Matt Suiche van Comae Technologies is het waarschijnlijk dat een overheid achter de cyberaanval zit. De presentatie als gijzelvirus zou enkel een afleidingsmanoeuvre zijn geweest om het te doen lijken dat een criminele bende achter de malware zit.

Oekraïne

De aanval begon dinsdag in Oekraïne en lijkt onder meer te zijn verspreid via de Oekraïense boekhoudsoftware MeDoc. Volgens cybersecuritybedrijf ESET vond meer dan 90 procent van de infecties ook plaats in dat land. De aanval kwam op de dag voor de nationale feestdag waarmee het aannemen van een nieuwe grondwet in Oekraïne wordt gevierd.

In het afgelopen anderhalf jaar is Oekraïne getroffen door heftige cyberaanvallen uit Rusland, zo schreef het tijdschrift Wired onlangs in een uitgebreid artikel. Aanvallers richtten zich onder meer op de energiesector, waardoor de stroom bij honderdduizenden mensen uitviel.

Onderzoekers hebben vooralsnog geen bewijs gevonden dat Rusland ook achter het Petya-virus zit.

Zie ook: Dit moet je weten over Petya, de 'cyberaanval verhuld als ransomware'