Petya-virus gericht op Oekraïne

Het Petya-virus dat afgelopen week wereldwijd grote schade aanrichtte, komt overeen met eerdere virussen die door een hackersgroep op Oekraïense doelwitten werden afgestuurd, zo blijkt uit onderzoek van IT-beveiliger ESET. De aanval was dus geen incident en specifiek gericht op Oekraïne.

Dave Maasland, directeur ESET Nederland: “De hackersgroep die vermoedelijk achter de aanval zit, gebruikte een geavanceerde aanvalsmethode die bekendstaat als een supply-chain-aanval. Voorheen richtte deze groep – die eerder door ESET de TeleBots-groep werd genoemd - zich voornamelijk op de financiële sector. De laatste aanval was gericht op bedrijven in Oekraïne. Waarschijnlijk onderschatte de groep de potentie van de malware, waardoor de verspreiding volledig uit de hand liep.”

Door het verband te leggen tussen verschillende aanvallen kan geconcludeerd worden dat Petya vanaf het begin af aan bedoeld is om zoveel mogelijk schade aan te richten en onderdeel was van een serie aanvallen. Deze zijn nu aan elkaar gelinkt. Technisch bewijs hiervoor kan gevonden worden in het feit dat bij eerdere aanvallen ook al gebruik is gemaakt van me.doc en de lijst met extensies is bijna gelijk met de Killdisk malware uit 2016. Daarnaast was het in veel gevallen onmogelijk om je bestanden terug te halen. Dit geeft duidelijk weer dat TeleBots als groep ook achter Petya zat en eerder waarschijnlijk betrokken was bij BlackEnergy.

Het onderzoek toont aan dat getroffen bedrijven in andere landen VPN-verbindingen hadden met vestigingen of businesspartners in Oekraïne. Via die connecties heeft het virus zich razendsnel verspreid.

Het onderzoeksrapport werd gepubliceerd op: https://www.welivesecurity.com/2017/06/30/telebots-back-supply-chain-attacks-against-ukraine/