‘Door NotPetya versleutelde data kan in sommige gevallen worden ontsleuteld’
Het blijkt in sommige gevallen mogelijk te zijn data die is versleuteld door Petya/NotPetya te ontsleutelen. Dit kan echter alleen als de malware op het getroffen systeem beheerdersrechten had.
Dit meldt Positive Technologies in een blogpost. Het bedrijf meldt dat NotPetya zonder beheerdersrechten data van slachtoffers versleuteld met AES-encryptie, terwijl het besturingssysteem niet wordt aangetast. In dit geval is het alleen mogelijk de data te ontsleutelen met behulp van de private RSA-sleutel, die vooralsnog niet beschikbaar is.
Salsa20-algoritme
Indien NotPetya echter beheerdersrechten heeft weten te verkrijgen is het Salsa20-algoritme gebruikt om de volledige harde schijf van slachtoffers te versleutelen. De makers van NotPetya hebben volgens Positive Technologies echter fouten gemaakt bij de implementatie van dit algoritme. Door deze fouten is de harde schijf versleuteld met een 128-bit sleutel, in plaats van een 256-bit variant. Het kraken van een 128-bit sleutel is echter nog steeds zeer tijdrovend.
Door de wijze waarop het Salsa20-algoritme is geïmplementeerd is het echter mogelijk de harde schijf van getroffen systemen zonder sleutel te ontsleutelen. Salsa20 is een 'synchronous stream cipher' die voor het versleutelen van bestanden gebruik maakt van keystream. NotPetya blijkt bestanden die groter zijn dan 4MB in veel gevallen met dezelfde keystream-fragmenten te hebben versleuteld.
Keystream achterhalen
Deze keystream kan worden achterhaald aan de hand van bekende bestanden waarvan zeker is dat die kunnen worden teruggevonden op de versleutelde harde schijf. Zo wijst Positive Technologies erop dat een schone installatie van Windows 8.1 uit meer dan 200.000 bestanden bestaat, waarvan een flink deel terug te vinden zijn op de versleutelde harde schijf van slachtoffers. Aan de hand van deze Windows-bestanden is het volgens het bedrijf mogelijk de keystream te achterhalen, waardoor vervolgens de bestanden kunnen worden ontsleuteld.
Momenteel is er nog geen tool beschikbaar waarmee die proces kan worden geautomatiseerd. Positive Technologies verwacht dat datarecovery specialisten echter hiervoor tools zullen ontwikkelen.
Dossiers
Meer over
Lees ook
Een miljoen Phishing-as-a-Service-aanvallen in twee maanden benadrukken een dreiging die zich snel ontwikkelt
Een nieuw rapport over de tools en technieken die bij deze aanvallen worden gebruikt laat zien dat PhaaS-platforms zich snel ontwikkelen, gevaarlijker en beter worden in het ontwijken van detectie. Veel aanvallen zijn gericht op gebruikers van populaire cloud platforms zoals Microsoft 365.
Arctic Wolf Threat Report: cybercriminelen zetten steeds vaker in op dubbele afpersing
Uit het 2025 Arctic Wolf Threat Report blijkt dat cybercriminelen hun gedrag aan het veranderen zijn: het wegsluizen van data is de norm geworden en is niet meer een uitzondering. Aanvallers versleutelen niet langer alleen data met ransomware, ze stelen deze data eerst om de druk op hun slachtoffers te vergroten
Darktrace-onderzoek: aanhoudende stijging van MaaS-dreigingen en toenemend gebruik van ontwijkingsstrategieën
Uit het 2024 Annual Threat Report van Darktrace, leider in AI voor cybersecurity, blijkt dat Malware-as-a-Service (MaaS) nu verantwoordelijk is voor meer dan de helft (57%) van alle cyberdreigingen voor organisaties. Dit markeert de voortdurende groei van Cybercrime-as-a-Service (CaaS) modellen.