Onbekenden hebben dinsdag de bitcoinwallet achter de NotPetya-malware vrijwel geleegd. Daarnaast werden er vanaf het bitcoinadres twee betalingen gedaan aan Pastebin en DeepPaste, waarop berichten verschenen dat de encryptiesleutel voor 100 bitcoin te koop is.
De transacties werden opgemerkt door Motherboard. In totaal is er 3,96 bitcoin uit de wallet gehaald, wat omgerekend neerkomt op bijna 9000 euro. De coins zijn nu geregistreerd in een nieuwe wallet, die nog geen andere transacties heeft uitgevoerd. Kort voordat de bitcoins werden weggesluisd, vonden er twee betalingen plaats van ongeveer 0,11 bitcoin. Deze gingen naar de adressen van DeepPaste en PasteBin. Kort daarvoor verschenen er twee identieke berichten op de sites, aldus Motherboard.
In het bericht wordt geclaimd dat voor een bedrag van 100 bitcoin, omgerekend bijna 225.000 euro, de privésleutel voor het ontsleutelen van elke harde schijf met uitzondering van bootdisks wordt opgestuurd. Daarnaast vermeldt het bericht dat er een bestand beschikbaar is die met de privésleutel is ondertekend. Verder is er een link naar een chatroom. Motherboard nam contact op met de personen achter het bericht, maar kon niet bevestigen dat het daadwerkelijk de personen achter NotPetya zijn.
Een gesprekspartner vertelde de site dat de prijs voor de sleutel zo hoog is omdat deze gebruikt kan worden om 'alle getroffen computers te ontsleutelen'. Ook werd aangeboden een bestand te ontsleutelen als bewijs, maar toen Motherboard met behulp van een beveiligingsonderzoeker een bestand opstuurde, kwam er geen antwoord. Onderzoeker Matthew Suiche, die zich al langer met NotPetya en WannaCry bezighoudt, is sceptisch over de claims.
Hij stelt dat het mogelijk een manier is om het te doen overkomen alsof er toch een financieel oogmerk achter de aanvallen zit. Een ander mogelijk oogmerk zou het verspreiden van verwarring en fud kunnen zijn. Beveiligingsbedrijf F-Secure publiceerde recentelijk een analyse van de encryptie van NotPetya, die gebruikmaakt van de Win32-api voor encryptie. Het bedrijf stelt dat decryptie mogelijk zou moeten zijn, maar met veel voorwaarden.
Zo moet ten eerste de privésleutel aanwezig zijn, die tot nu toe niet beschikbaar is. Daarnaast mogen er tussen encryptie en decryptie geen bestanden bijgekomen, verplaatst of verwijderd zijn. Een derde vereiste is dat de master file table nog intact is. Ten slotte mag encryptie maar een enkele keer plaatsgevonden hebben. Dat laatste zou een groot hindernis vormen omdat de verspreidingstechnieken van de malware er mogelijk voor zorgen dat er twee keer versleuteld wordt.
Update, 16:07: Twee beveiligingsonderzoekers bevestigen aan Forbes dat het ondertekende bestand bewijs is dat de mensen achter het bericht over de privésleutel beschikken. De uitzondering voor de bootsector zou ermee te maken hebben dat de malware daarvoor een andere encryptiemethode gebruikt.