Meer dan 2.000 ransomware aanvallen uitgevoerd met Petya/NotPetya

Een nieuwe reeks ransomware aanvallen verspreidt zich razendsnel over de wereld, en lijkt voornamelijk gericht op bedrijven in Oekraïne, Rusland en West-Europa. Het onderzoek loopt nog en de bevindingen zijn nog verre van definitief. Uit cijfers blijkt echter dat er al meer 2.000 aanvallen met de ransomware Petya/NotPetya zijn uitgevoerd.

Dit meldt het Global Research & Analysis Team (GReAT) van Kaspersky Lab in een blogpost. De criminelen achter de aanval vragen $300 in Bitcoins in ruil voor de sleutel waarmee gegijzelde data kan worden ontsleuteld. Dit bedrag moet worden overgemaakt naar een Bitcoin account. In tegenstelling tot WannaCry zou deze techniek kunnen werken, aangezien de aanvallers slachtoffers vragen het nummer van hun bitcoin wallet te vermelden in een e-mail die zij naar wowsmith123456@posteo.net moeten sturen om de betaling te bevestigen. Kaspersky Lab meldt echter meldingen te hebben ontvangen dat dit e-mailaccount inmiddels is gesloten, waarmee decryptie voor bestaande slachtoffers momenteel onmogelijk is.

Op het moment waarop de blogpost werd geschreven, waren er 24 transacties binnengekomen op de Bitcoin wallet met een totaalbedrag van 2,54 BTC, omgerekend net iets minder dan $6.000 USD.

De ransomware zoekt naar inloggegevens om zichzelf verder te kunnen verspreiden. Hiervoor maakt de ransomware gebruik van tool als Mimikatz. Deze halen inloggegevens uit het lsass.exe proces. Zodra deze gegevens binnen zijn, worden zij doorgegeven aan de PsExec tools of WMIC voor distributie binnen een netwerk.

Oplossingen van Kaspersky Lab zijn volgens het GReAT team in staat de aanval te stoppen via het System Watcher component. Deze technologie beschermt tegen ransomware aanvallen door veranderingen in het systeem te monitoren en potentieel schadelijke acties terug te draaien.

De volledige blogpost van het GReAT team van Kaspersky Lab is hier te vinden.