Was sind Petya und NotPetya Ransomware?
Petya und NotPetya trafen Computer in den Jahren 2016 und 2017, wobei der letztere milliardenschwere Schäden verursachte. Die erste Variante von Petya verschlüsselte Master Boot Records, um ganze Festplatten unzugänglich zu machen, anstatt spezifische Dateien wie typische Ransomware zu verschlüsseln. Eine andere Variante von Petya war jedoch gefährlicher, da sie Boot-Records infizierte und Dokumente verschlüsselte.
Eine erheblich modifizierte Version von Petya, von Forschern als NotPetya bezeichnet, war destruktiver und verbreiteter als ältere Petya-Versionen. Anders als Petya könnte NotPetya eine Cyberwaffe gewesen sein. Es traf hauptsächlich Organisationen in der Ukraine.
Was ist Petya?
Petya ist eine verschlüsselnde Malware, die Forscher im Jahr 2016 entdeckten. Ihr Name ist inspiriert von einem fiktiven sowjetischen Satelliten aus dem James Bond Film GoldenEye (1995). Während Petyas Verbreitungsgrad durchschnittlich war, war die Verschlüsselungstechnik innovativ und ungewöhnlich.
Was hat Petya gemacht?
Die Ransomware verbreitete sich durch Phishing-E-Mails, die ein PDF als trojanisches Pferd nutzten. Sobald jemand Petya aktivierte und ihm Admin-Zugriff gewährte, begann die Ransomware zu arbeiten. Nach dem Neustart eines Zielcomputers wie ein Boot-Sektor-Virus, überschreibt es den Master Boot Record (MBR), um die Festplatte zu verschlüsseln. Während die Dateien auf einem von Petya infizierten Computer nicht verschlüsselt, beschädigt oder verloren waren, waren sie unzugänglich. Petya forderte Bitcoin von den Opfern, um den Zugang wiederherzustellen.
Was ist der Unterschied zwischen Petya und NotPetya?
NotPetya war eine aufgemotzte Version von Petya. Cybersicherheitsexperten nannten sie „NotPetya“, und der Name blieb hängen. Obwohl sowohl Petya als auch NotPetya einem Cyberkriminellen helfen können, einen Ransomware-Angriff zu starten, gibt es einige wesentliche Unterschiede.
1. Ausbreitung
Petya verbreitete sich bei weitem nicht so schnell wie NotPetya aus einigen Gründen. Zum einen versuchte es, Benutzer zu täuschen, es zu öffnen, und viele moderne Computerbenutzer können Social-Engineering-Techniken wie Phishing-Angriffe erkennen. Die ursprüngliche Variante von Petya benötigte auch Admin-Berechtigungen, die viele erfahrene Benutzer nicht teilten. Auf der anderen Seite verbreitete sich NotPetya schneller durch Hintertüren, Exploits wie Eternal Blue und Remote-Access-Schwachstellen. Sie können mehr über EternalPetya lesen, um mehr über die Petya-Ransomware-Familie zu erfahren.
2. Verschlüsselung
Wie bereits erwähnt, verschlüsselt die ursprüngliche Version von Petya keine Dateien, sondern nur den Boot-Record, um zu verhindern, dass Opfer Windows laden. Im Gegensatz dazu verschlüsselte NotPetya Dateien und beschädigte sogar einige Speicherlaufwerke. Die beiden unterschieden sich auch in ihren Anzeigen und Nachrichten an ihre Ziele. Interessanterweise verschlüsselt eine zweite Variante von Petya mit der Ransomware-Payload Mischa auch Dokumente und benötigt keine Administratorenberechtigungen vom Opfer.
3. Entschlüsselung
Viele Experten behaupteten, dass NotPetya-Angreifer die Dateien nicht entschlüsseln konnten. Zum Beispiel sagte Großbritanniens National Cyber Security Centre: „Die Malware war nicht dafür ausgelegt, entschlüsselt zu werden. Das bedeutete, dass es keine Möglichkeit für die Opfer gab, Daten wiederherzustellen, nachdem sie verschlüsselt worden waren.“ Forscher bei Vice erfuhren jedoch, dass NotPetya-Hacker alle von der Ransomware verschlüsselten Dateien letztendlich entsperren konnten.
Welche Art von Angriff war NotPetya?
NotPetya war höchstwahrscheinlich ein Cyberangriff. Seine Autoren schienen mehr daran interessiert zu sein, Systeme zu stören, als Geld zu verdienen, und es ist unwahrscheinlich, dass kleine Hacker die Ressourcen oder Fähigkeiten hatten, um Petya so schnell in NotPetya zu entwickeln.
Wen hat NotPetya anvisiert?
Während sich NotPetya organisch über Europa, Asien und Nordamerika verbreitete, war sein eigentliches Ziel höchstwahrscheinlich die Ukraine. NotPetya traf Regierungs-, Transport-, Energie- und Finanzsektoren, was zu erheblichen finanziellen und Produktivitätsverlusten im europäischen Land führte. Der NotPetya-Angriff begann auch am Vorabend des ukrainischen Verfassungstags.
Wer hat NotPetya gestartet?
NotPetya trägt die Merkmale eines staatlich geförderten Cyberkriegs. Die ukrainischen Politiker beschuldigten die russischen Sicherheitsdienste für NotPetya, und die amerikanische Regierung stimmte zu. Der Kreml antwortete, indem er diese Anschuldigungen zurückwies und darauf hinwies, dass sich die Ransomware auch nach Russland ausbreitete. Ein nationaler Sprecher sagte jedoch, dass der Angriff in Russland keine ernsthaften Schäden verursachte.
Ist NotPetya Ransomware?
Einige Experten argumentieren, dass NotPetya keine Ransomware ist, weil seine Autoren möglicherweise nicht in der Lage sind, Computer zu entschlüsseln. Aber die Antwort auf „Ist NotPetya eine Ransomware“ hängt von Ihrer Ransomware-Definition ab. Man könnte sagen, dass NotPetya Ransomware ist, unabhängig von den Fähigkeiten des Autors, Computer zu entschlüsseln, weil es Benutzern den Zugriff auf ihre Dateien oder Systeme verhindert und ein Lösegeld fordert. Besonders WannaCry ist auch ein Ransomware-Stamm, obwohl seine Autoren möglicherweise in der Lage sind, Computer zu entschlüsseln.
Wie stoppt man Petya?
Sie haben vielleicht gelesen, wie Bedrohungsakteure SMB-Schwachstellen nutzen, um Ransomware-Angriffe wie NotPetya und WannaCry zu starten. Das Herunterladen der neuesten Windows Server Message Block (SMB) Patches kann diese Sicherheitslücken schließen. Es ist auch wichtig, Sicherheitssoftware zu verwenden, die vor Ransomware schützen kann. Regelmäßige Datensicherungen können Ihnen auch helfen, im Falle eines Ransomware-Angriffs vorbereitet zu sein.