Petya Ransomware-Hacker tauchen wieder auf: Nachfrage über 250.000 US-Dollar

Im vergangenen Monat verschlüsselte die Petya-Ransomware weltweit Tausende von Computern. Kurz nachdem der Angriff an Popularität gewonnen hatte, wurden die Hacker, die hinter dem Angriff standen, von ihrem mit dem Angriff verbundenen E-Mail-Konto ausgeschlossen. Dies führte zu einem gewaltigen Aufruhr, da die Betroffenen ohne Entschlüsselungsschlüssel zurückblieben.

Der Angriff richtete sich in erster Linie gegen Unternehmen in diesen Ländern, während ein Krankenhaus in Pittsburg, USA, ebenfalls betroffen war. Zu den Opfern des Angriffs zählen unter anderem die Zentralbank, die Eisenbahn, Ukrtelecom (Ukraine), Rosnett (Russland), WPP (Großbritannien) und DLA Piper (USA).

Das Ausmaß der Angriffe auf die Ukraine war im Vergleich zu anderen Ländern relativ viel höher, und dies hat viele Sicherheitsforscher und Experten zu der Annahme veranlasst, dass der Angriff möglicherweise nur ein staatlich finanzierter Angriff auf die Ukraine war.

More in News: Was ist Ransomware und wie schützt man sich davor?

Da auf dem Bitcoin-Konto, auf dem Zahlungen akzeptiert wurden, nur Lösegeldzahlungen in Höhe von über 10.000 USD angefallen waren, bevor die E-Mail-ID geschlossen wurde, waren die Forscher der Ansicht, dass das eigentliche Motiv für den Angriff nicht Geld war, sondern der Schaden für die Ukraine.

Lösegeld zurückgezogen; Frische Note erscheint

Aber wer auch immer hinter dem Angriff steckt, scheint die Bitcoin-Brieftasche geleert zu haben, mit der die Zahlungen der von Petja Infizierten eingezogen wurden.

Kurz nachdem alle Gelder auf ein anderes Bitcoin-Konto überwiesen worden waren, wurden zwei Zahlungen an Pastebin und DeepPaste geleistet - zwei Websites, auf denen Leute Text online posten und von Hackern für Ankündigungen verwendet werden - und eine Nachricht wurde von jemandem gepostet, der behauptete, hinter dem zu stehen Petya / NotePetya Ransomware-Angriff.

Die Meldung lautete: "Senden Sie mir 100 Bitcoins, und Sie erhalten meinen privaten Schlüssel, mit dem Sie alle Festplatten (außer Startdisketten) entschlüsseln können."

Die Ankündigung enthielt keine Bitcoin-Adresse, unter der Zahlungen getätigt werden konnten. Stattdessen wurde ein Link zu einem dunklen Web-Chatroom bereitgestellt, mit dem sich alle Interessierten in Verbindung setzen können.

Dieser Schritt der Hacker hat jedoch viele Sicherheitsforscher und Analysten verwirrt. Es wurde größtenteils angenommen, dass es sich um einen staatlich finanzierten Angriff handelte, da die Lösegeldforderung keine große Summe war und das Desinteresse am Einzug der Zahlung die Dinge noch deutlicher machte.

Weitere Neuigkeiten: So entfernen Sie Ransomware von Ihrem Telefon

Aber auch wenn die Hacker angeblich ihre Lösegeldforderungen erneuern und wieder auftauchen, glauben Sicherheitsexperten, dass dies getan wird, um Ermittler zu verwirren, die nach Beweisen suchen, um dies für einen staatlich geförderten Angriff zu erklären.

Der Sicherheitsforscher Matt Suiche sagte im Gespräch mit dem Motherboard: "Dies ist ein klarer Versuch der Angreifer, das Publikum weiter zu verwirren." Dies könnte auch die Arbeit von "trollenden Journalisten" sein.