Was sind die Ransomware Petya und NotPetya?
Petya und NotPetya haben 2016 bzw. 2017 Computer befallen, wobei letztere Schäden in Milliardenhöhe verursachte. Die erste Variante von Petya verschlüsselte Master-Boot-Datensätze, um ganze Festplatten unzugänglich zu machen, anstatt wie typische Ransomware bestimmte Dateien zu verschlüsseln. Eine andere Variante von Petya war jedoch gefährlicher, da sie Boot-Datensätze infizierte und Dokumente verschlüsselte.
Eine deutlich veränderte Version von Petya, die von Forschern als NotPetya bezeichnet wird, war zerstörerischer und verbreiteter als die alten Petya-Versionen. Im Gegensatz zu Petya könnte NotPetya eine Cyberwaffe gewesen sein. Es traf vor allem Organisationen in der Ukraine.
Was ist Petya?
Petya ist eine Verschlüsselungs-Malware, die Forscher im Jahr 2016 entdeckten. Ihr Name ist inspiriert von einem fiktiven sowjetischen Satelliten aus dem James-Bond-Film GoldenEye (1995). Während die Penetrationsrate von Petya durchschnittlich war, war seine Verschlüsselungstechnik innovativ und ungewöhnlich.
Was hat Petya getan?
Die Ransomware verbreitete sich über Phishing-E-Mails, die ein PDF enthielten, das als trojanisches Pferd fungierte. Sobald jemand Petya aktivierte und ihm Admin-Zugriff gewährte, machte sich die Ransomware an die Arbeit. Nachdem sie den Computer des Ziels wie ein Bootsektorvirus neu gestartet hat, überschreibt sie den Master Boot Record (MBR), um die Festplatte zu verschlüsseln. Die Dateien auf einem mit Petya infizierten Computer wurden zwar nicht verschlüsselt, beschädigt oder gingen verloren, aber sie waren unzugänglich. Petya verlangte von den Opfern Bitcoin, um den Zugriff wiederherzustellen.
Was ist der Unterschied zwischen Petya und NotPetya?
NotPetya war eine aufgemotzte Version von Petya. Cybersecurity-Experten nannten sie "NotPetya", und der Name blieb haften. Obwohl sowohl Petya als auch NotPetya einem Cyberkriminellen helfen können, einen Ransomware-Angriff zu starten, gibt es einige entscheidende Unterschiede.
1. Ausbreitung
Petya hat sich aus mehreren Gründen nicht annähernd so schnell verbreitet wie NotPetya. Zum einen wurde versucht, Benutzer zum Öffnen des Programms zu verleiten, und viele moderne Computernutzer können Social-Engineering-Techniken wie Phishing-Angriffe erkennen. Die ursprüngliche Petya-Variante erforderte außerdem Administratorrechte, die viele erfahrene Benutzer nicht hatten. Andererseits verbreitete sich NotPetya durch Hintertüren, Exploits wie Eternal Blue und Sicherheitslücken für den Fernzugriff schneller. Weitere Informationen über die Petya-Ransomware-Familie finden Sie unter EternalPetya.
2. Verschlüsselung
Wie bereits erwähnt, verschlüsselt die Originalversion von Petya keine Dateien, sondern nur den Boot-Record, um zu verhindern, dass Opfer Windows laden. Im Gegensatz dazu verschlüsselte NotPetya Dateien und beschädigte sogar einige Speicherlaufwerke. Die beiden unterscheiden sich auch in ihren Anzeigen und Nachrichten an ihre Ziele. Interessanterweise verschlüsselt eine zweite Variante von Petya, die mit der Ransomware-Nutzlast Mischa ausgestattet ist, ebenfalls Dokumente und benötigt keine administrativen Berechtigungen des Opfers.
3. Entschlüsselung
Viele Experten behaupteten, dass NotPetya-Angreifer die Dateien nicht entschlüsseln konnten. So erklärte beispielsweise das britische National Cyber Security Centre: "Die Schadsoftware war nicht darauf ausgelegt, entschlüsselt zu werden. Dies bedeutete, dass es für die Opfer keine Möglichkeit gab, Daten wiederherzustellen, nachdem sie verschlüsselt worden waren." Die Forscher von Vice haben jedoch herausgefunden, dass die Hacker von NotPetya alle von der Ransomware verschlüsselten Dateien doch noch entschlüsseln konnten.
Welche Art von Angriff war NotPetya?
NotPetya war höchstwahrscheinlich ein Cyberangriff. Die Autoren schienen mehr daran interessiert zu sein, Systeme zu stören als Einnahmen zu generieren, und es ist unwahrscheinlich, dass unbedeutende Hacker die Ressourcen oder Fähigkeiten hatten, Petya so schnell zu NotPetya zu entwickeln.
Wer war das Ziel von NotPetya?
Während sich NotPetya organisch über Europa, Asien und Nordamerika ausbreitete, war sein eigentliches Ziel höchstwahrscheinlich die Ukraine. NotPetya traf die Regierung, das Transportwesen, den Energiesektor und den Finanzsektor, was zu erheblichen Geld- und Produktivitätsverlusten in dem europäischen Land führte. Der NotPetya-Angriff begann außerdem am Vorabend des ukrainischen Verfassungstages.
Wer hat NotPetya gestartet?
NotPetya weist die Merkmale einer staatlich geförderten Cyber-Kriegsführung auf. Ukrainische Politiker machten russische Sicherheitsdienste für NotPetya verantwortlich, und die amerikanische Regierung stimmte dem zu. Der Kreml wies diese Behauptungen zurück und wies darauf hin, dass sich die Ransomware auch in Russland verbreitet habe. Ein Staatssprecher sagte jedoch, dass der Angriff in Russland keinen ernsthaften Schaden verursacht habe.
Ist NotPetya Ransomware?
Einige Experten argumentieren, dass NotPetya keine Ransomware ist, weil seine Autoren möglicherweise nicht in der Lage sind, Computer zu entschlüsseln. Die Antwort auf die Frage "Ist NotPetya eine Ransomware?" hängt jedoch von Ihrer Ransomware-Definition ab. Man könnte sagen, dass NotPetya Ransomware ist, unabhängig davon, ob die Autoren in der Lage sind, Computer zu entschlüsseln, da sie den Zugriff der Benutzer auf ihre Dateien oder ihr System verhindert und die Zahlung eines Lösegelds verlangt. In ähnlicher Weise ist auch WannaCry ein Ransomware-Stamm, auch wenn seine Autoren die Fähigkeit haben, Computer zu entschlüsseln.
Wie man Petya stoppt
Sie haben vielleicht darüber gelesen , wie Bedrohungsakteure SMB-Schwachstellen nutzen, um Ransomware-Angriffe wie NotPetya und WannaCry zu starten. Das Herunterladen Sien der neuesten Windows Server Message Block (SMB)-Patches kann diese Sicherheitslücken schließen. Die Verwendung von Sicherheitssoftware, die vor Ransomware schützen kann, ist ebenfalls wichtig. Regelmäßige Backups Ihrer Daten können Ihnen ebenfalls helfen, im Falle eines Ransomware-Angriffs vorbereitet zu sein.