020 530 0160

Decryptiemogelijkheden voor bedrijven besmet met Petya-ransomware

Gepubliceerd op 12 juli 2017 categorieën 

Ondertussen is bekend dat de Petya-ransomware grote schade heeft aangericht aan bedrijven. Maar wat doet deze ransomware eigenlijk precies? Petya-ransomware zorgt ervoor dat alle bestanden op de schijf versleuteld raken. Een bedrijf dat getroffen is door het Petya virus kan de versleutelde bestanden alleen terughalen, oftewel ontsleutelen, door de privésleutel van de ontwikkelaar van de ransomware (‘hacker’) te bemachtigen. Het verkrijgen van de sleutel gaat gepaard met het betalen van een geldsom, wat in dit geval onmogelijk blijkt te zijn omdat de opsporingsdiensten het e-mailadres van de hacker uit de lucht hebben gehaald.

In een eerdere blog is uitgelegd hoe encryptie (‘versleuteling’) werkt. Daartegenover staat het decrypten van bestanden (‘ontsleutelen’): met het gebruik van twee sleutels, een publieke sleutel en een privésleutel kunnen bestanden worden ontcijferd. Naast deze mogelijkheid kan decryptie in bepaalde gevallen ook zonder sleutel plaatsvinden. Dit kan zich voordoen als het encryptiesysteem niet waterdicht is. Een gat in het systeem kan komen door, bijvoorbeeld, fouten in de implementatie van het encryptie proces. In het licht van de bestrijding van terrorisme zou zo’n gat juist gunstig kunnen zijn; informatie over criminelen kan makkelijker worden achterhaald door het opzettelijk creëren van ‘achterdeurtjes’.

Nu blijkt uit onderzoek dat het ontwikkelde encryptiesysteem van Petya ook een achterdeurtje heeft. Bij de implementatie van het encryptiesysteem hebben de hackers namelijk gebruik gemaakt van een verkeerde sleutel, waardoor encryptie niet goed heeft plaatsgevonden. Door deze fout kan de keystream, waarvan het algoritme gebruik maakt, worden achterhaald via bestaande (Windows-)bestanden. Daarmee kunnen bestanden zonder sleutel worden teruggehaald. In bepaalde gevallen dan. Zo zou uit het onderzoek blijken dat onderscheid moet worden gemaakt tussen versleutelde bestanden op een account met beheerdersrechten en versleutelde bestanden op een gebruikersaccount met beperkte rechten. De eerste variant maakt gebruik van het algoritme, terwijl de tweede variant een privésleutel vereist. Dus alleen bestanden op een account met beheerdersrechten kunnen door de getroffen bedrijven zonder sleutel worden ontsleuteld.

Alhoewel de fout in het encryptiesysteem in het voordeel van de getroffen bedrijven werkt, zal er uiteraard niet op gerekend moeten worden dat bij een volgende cyberaanval een dergelijke fout zich opnieuw voordoet. Alleen al omdat cyberaanvallen steeds geavanceerder worden, volgens de Nationaal Coördinator Terrorismebestrijding en Veiligheid. Daarom moet cybercriminaliteit serieus worden genomen. De EU heeft al verklaard economische sancties aan hackers te willen opleggen. Bovendien staat de bestrijding van cybercriminaliteit ook hoog op de prioriteitenlijst van de Nederlandse overheid.

Auteur: Cindy Steentjes

Deze blog is automatisch geïmporteerd uit een oudere versie van deze website. Daarom is de lay-out mogelijk niet perfect.
Deel:

auteur

Mike Landerbarthold

publicaties

Gerelateerde artikelen