Οι ερευνητές της Kaspersky Lab πραγματοποίησαν μια συγκριτική ανάλυση των WannaCry και ExPetr – των δύο τελευταίων επιθέσεων με ransomware προγράμματα – οι οποίες πραγματοποιήθηκαν με διαφορετικούς τρόπους και με διαφορετικούς στόχους. Ωστόσο, οι επιθέσεις διαθέτουν κάποιες ομοιότητες, παρουσιάζοντας σημάδια μιας αναδυόμενης τάσης καλυμμένης καταστροφικής στοχευμένης δραστηριότητας.

kaspersky-flag

  • Σε αντίθεση με προηγούμενες καταστροφικές επιθέσεις με τεχνολογίες Wiper, όπως οι BlackEnergy και Destover το 2014, και οι Shamoon και StonedDrill το 2016-2017, οι οποίες πραγματοποιήθηκαν με έναν πολύ μεθοδευμένο και καταστροφικό τρόπο, τα κίνητρα των WannaCry και ExPetr – είτε για καταστροφική δραστηριότητα είτε για δολιοφθορά – παραμένουν ασαφή.
  • Υπήρξε η ίδια καθυστέρηση διάρκειας δύο μηνών για την παράδοση worm-enabled παραλλαγών: σύμφωνα με τις πρώτες πληροφορίες σχετικά με τους στόχους, η ανάπτυξη του WannaCry ξεκίνησε τον Μάρτιο, ενώ του ExPetr πραγματοποιήθηκε τον Απρίλιο. Αλλά τα ίδια τα ransomware/wiper διαδόθηκαν πολύ αργότερα, τον Μάιο και τον Ιούνιο αντίστοιχα.
  • Η ανάπτυξη του WannaCry ήταν αργή και πρακτική, με διάσπαρτους παγκόσμιους στόχους, ασυνεπή προφίλ και καμία προσοχή στη συλλογή Bitcoins: ο εισβολέας έστειλε ένα σύνολο μηνυμάτων που ενθάρρυναν τους χρήστες να πληρώνουν το BTC στο πορτοφόλι τους.
  • Η ανάπτυξη του ExPetr ήταν απότομη, προηγμένη και τεχνικά ευέλικτη, εστιάζοντας στο λογισμικό οργανισμών που συνδέονται με την Ουκρανία. Ωστόσο, οι επιτιθέμενοι του ExPetr προφανώς δεν επέστρεψαν ούτε με ευρύτατα διαδεδομένα μηνύματα ή προκλήσεις για τους στόχους τους, ούτε και παρέτειναν το περιστατικό ζητώντας συναλλαγές με Bitcoins για αποκρυπτογράφηση δίσκων.

Σύμφωνα με τους ερευνητές της Kaspersky Lab, οι διαφορές στην ανάπτυξη του κάθε ransomware δείχνουν ότι οι δύο επιθέσεις δεν πραγματοποιήθηκαν από τον ίδιο επιτιθέμενο. Αλλά υπάρχουν προφανείς ομοιότητες όσον αφορά στην τακτική τόσο του WannaCry όσο και του ExPetr, γεγονός το οποίο μαρτυρά την έναρξη νέας στοχευμένης δραστηριότητας επιθέσεων APT πίσω από τα ransomware.

Για περισσότερες πληροφορίες μπορείτε να επισκεφτείτε τον ειδικό ιστότοπο Securelist.com