Was sind Petya und NotPetya Ransomware?
Petya und NotPetya trafen Computer in den Jahren 2016 und 2017, wobei der letztere milliardenschwere Schäden verursachte. Die erste Variante von Petya verschlüsselte Master Boot Records, um ganze Festplatten unzugänglich zu machen, anstatt spezifische Dateien wie typische Ransomware zu verschlüsseln. Eine andere Variante von Petya war jedoch gefährlicher, da sie Boot-Records infizierte und Dokumente verschlüsselte.
Eine erheblich modifizierte Version von Petya, von Forschern als NotPetya bezeichnet, war destruktiver und verbreiteter als ältere Petya-Versionen. Anders als Petya könnte NotPetya eine Cyberwaffe gewesen sein. Es traf hauptsächlich Organisationen in der Ukraine.
Was ist Petya?
Petya ist eine Verschlüsselungs-Malware, die Forscher im Jahr 2016 entdeckten. Ihr Name ist inspiriert von einem fiktiven sowjetischen Satelliten aus dem James-Bond-Film GoldenEye (1995). Während die Penetrationsrate von Petya durchschnittlich war, war seine Verschlüsselungstechnik innovativ und ungewöhnlich.
Was hat Petya gemacht?
Die Ransomware verbreitete sich über Phishing-E-Mails, die ein PDF enthielten, das als trojanisches Pferd fungierte. Sobald jemand Petya aktivierte und ihm Admin-Zugriff gewährte, machte sich die Ransomware an die Arbeit. Nachdem sie den Computer des Ziels wie ein Bootsektorvirus neu gestartet hat, überschreibt sie den Master Boot Record (MBR), um die Festplatte zu verschlüsseln. Die Dateien auf einem mit Petya infizierten Computer wurden zwar nicht verschlüsselt, beschädigt oder gingen verloren, aber sie waren unzugänglich. Petya verlangte von den Opfern Bitcoin, um den Zugriff wiederherzustellen.
Was ist der Unterschied zwischen Petya und NotPetya?
NotPetya war eine aufgemotzte Version von Petya. Cybersicherheitsexperten nannten sie „NotPetya“, und der Name blieb hängen. Obwohl sowohl Petya als auch NotPetya einem Cyberkriminellen helfen können, einen Ransomware-Angriff zu starten, gibt es einige wesentliche Unterschiede.
1. Ausbreitung
Petya hat sich aus mehreren Gründen nicht annähernd so schnell verbreitet wie NotPetya. Zum einen wurde versucht, Benutzer zum Öffnen des Programms zu verleiten, und viele moderne Computernutzer können Social-Engineering-Techniken wie Phishing-Angriffe erkennen. Die ursprüngliche Variante von Petya erforderte außerdem Administratorrechte, die viele erfahrene Benutzer nicht hatten. Andererseits verbreitete sich NotPetya durch Hintertüren, Exploits wie Eternal Blue und Sicherheitslücken für den Fernzugriff schneller. Weitere Informationen über die Petya-Ransomware-Familie finden Sie unter EternalPetya.
2. Verschlüsselung
Wie bereits erwähnt, verschlüsselt die ursprüngliche Version von Petya keine Dateien, sondern nur den Boot-Record, um zu verhindern, dass Opfer Windows laden. Im Gegensatz dazu verschlüsselte NotPetya Dateien und beschädigte sogar einige Speicherlaufwerke. Die beiden unterschieden sich auch in ihren Anzeigen und Nachrichten an ihre Ziele. Interessanterweise verschlüsselt eine zweite Variante von Petya mit der Ransomware-Payload Mischa auch Dokumente und benötigt keine Administratorenberechtigungen vom Opfer.
3. Entschlüsselung
Viele Experten behaupteten, dass NotPetya-Angreifer die Dateien nicht entschlüsseln konnten. Das National Cyber Security Centre des Vereinigten Königreichs zum Beispiel sagte: "Die Malware war nicht darauf ausgelegt, entschlüsselt zu werden. Das bedeutete, dass es für die Opfer keine Möglichkeit gab, Daten wiederherzustellen, nachdem sie verschlüsselt worden waren." Die Forscher von Vice fanden jedoch heraus, dass NotPetya hackers alle von der Ransomware verschlüsselten Dateien doch noch entschlüsseln konnten.
Welche Art von Angriff war NotPetya?
NotPetya war höchstwahrscheinlich ein Cyberangriff. Seine Autoren schienen mehr daran interessiert zu sein, Systeme zu stören, als Geld zu verdienen, und es ist unwahrscheinlich, dass kleine Hacker die Ressourcen oder Fähigkeiten hatten, um Petya so schnell in NotPetya zu entwickeln.
Wen hat NotPetya anvisiert?
Während sich NotPetya organisch über Europa, Asien und Nordamerika verbreitete, war sein eigentliches Ziel höchstwahrscheinlich die Ukraine. NotPetya traf Regierungs-, Transport-, Energie- und Finanzsektoren, was zu erheblichen finanziellen und Produktivitätsverlusten im europäischen Land führte. Der NotPetya-Angriff begann auch am Vorabend des ukrainischen Verfassungstags.
Wer hat NotPetya gestartet?
NotPetya trägt die Merkmale eines staatlich geförderten Cyberkriegs. Die ukrainischen Politiker beschuldigten die russischen Sicherheitsdienste für NotPetya, und die amerikanische Regierung stimmte zu. Der Kreml antwortete, indem er diese Anschuldigungen zurückwies und darauf hinwies, dass sich die Ransomware auch nach Russland ausbreitete. Ein nationaler Sprecher sagte jedoch, dass der Angriff in Russland keine ernsthaften Schäden verursachte.
Ist NotPetya Ransomware?
Einige Experten argumentieren, dass NotPetya keine Ransomware ist, weil seine Autoren möglicherweise nicht in der Lage sind, Computer zu entschlüsseln. Aber die Antwort auf „Ist NotPetya eine Ransomware“ hängt von Ihrer Ransomware-Definition ab. Man könnte sagen, dass NotPetya Ransomware ist, unabhängig von den Fähigkeiten des Autors, Computer zu entschlüsseln, weil es Benutzern den Zugriff auf ihre Dateien oder Systeme verhindert und ein Lösegeld fordert. Besonders WannaCry ist auch ein Ransomware-Stamm, obwohl seine Autoren möglicherweise in der Lage sind, Computer zu entschlüsseln.
Wie stoppt man Petya?
Sie haben vielleicht darüber gelesen , wie Bedrohungsakteure SMB-Schwachstellen nutzen, um Ransomware-Angriffe wie NotPetya und WannaCry zu starten. Das Herunterladen der neuesten Windows Server Message Block (SMB)-Patches kann diese Sicherheitslücken schließen. Die Verwendung von Sicherheitssoftware, die vor Ransomware schützen kann, ist ebenfalls wichtig. Regelmäßige Backups Ihrer Daten können Ihnen ebenfalls helfen, im Falle eines Ransomware-Angriffs vorbereitet zu sein.