Petya en NotPetya ransomware

Petya en NotPetya waren cyberaanvallen in respectievelijk 2016 en 2017. In beide gevallen ging het om ransomware, maar NotPetya was nog geavanceerder dan Petya.

.st0{fill:#0D3ECC;} MALWAREBYTES GRATIS DOWNLOADEN

Ook voor Windows, iOS, Android, Chromebook en Voor bedrijven

Wat zijn Petya en NotPetya ransomware?

Petya en NotPetya troffen computers in respectievelijk 2016 en 2017, waarbij de laatste resulteerde in miljarden dollars aan schade. De eerste variant van Petya versleutelde masterbootrecords om hele harde schijven ontoegankelijk te maken in plaats van specifieke bestanden te versleutelen zoals bij typische ransomware. Een andere variant van Petya was echter gevaarlijker, infecteerde bootrecords en versleutelde documenten.

Een aanzienlijk gewijzigde versie van Petya, door onderzoekers NotPetya genoemd, was destructiever en omvangrijker dan oude Petya-versies. In tegenstelling tot Petya was NotPetya mogelijk een cyberwapen. Het trof voornamelijk organisaties in Oekraïne.

Wat is Petya?

Petya is een versleutelende malware die onderzoekers in 2016 hebben ontdekt. De naam is geïnspireerd op een fictieve Sovjetsatelliet uit de James Bond-film GoldenEye (1995). De penetratiegraad van Petya was gemiddeld, maar de versleutelingstechniek was innovatief en ongebruikelijk.

Wat heeft Petya gedaan?

De ransomware verspreidde zich via phishingmails met een PDF als Trojaans paard. Zodra iemand Petya activeerde en admin-toegang gaf, ging de ransomware aan het werk. Na het herstarten van de computer van het doelwit, zoals een bootsectorvirus, overschreef het de Master Boot Record (MBR) om de harde schijf te versleutelen. Hoewel de bestanden op een door Petya geïnfecteerde computer niet werden versleuteld, beschadigd of verloren gingen, waren ze wel ontoegankelijk. Petya eiste Bitcoin van slachtoffers om de toegang te herstellen.

Wat is het verschil tussen Petya en NotPetya?

NotPetya was een opgevoerde versie van Petya. Cyberbeveiligingsdeskundigen gaven het de naam "NotPetya" en die naam bleef hangen. Hoewel zowel Petya als NotPetya een cybercrimineel kunnen helpen bij het lanceren van een ransomware-aanval, zijn er enkele cruciale verschillen.

1. Propagatie

Petya verspreidde zich om een paar redenen lang niet zo snel als NotPetya. Ten eerste probeerde het gebruikers te verleiden om het te openen, en veel moderne computergebruikers kunnen social engineering-technieken zoals phishing-aanvallen herkennen. De oorspronkelijke variant van Petya vereiste ook beheerdersrechten die veel ervaren gebruikers niet deelden. Aan de andere kant verspreidde NotPetya zich sneller via backdoors, exploits zoals Eternal Blue en kwetsbaarheden voor externe toegang. u kan meer lezen over EternalPetya voor meer informatie over de Petya-ransomwarefamilie.

2. Encryptie

Zoals hierboven vermeld, versleutelt de originele versie van Petya geen bestanden, maar alleen het opstartrecord om te voorkomen dat slachtoffers Windows laden. NotPetya daarentegen versleutelde bestanden en beschadigde zelfs sommige opslagschijven. De twee verschillen ook in hun weergave en berichten aan hun doelwitten. Interessant is dat een tweede variant van Petya, gewapend met de ransomware payload Mischa, ook documenten versleutelt en geen administratieve rechten van het slachtoffer nodig heeft.

3. Ontcijfering

Veel experts beweerden dat NotPetya-aanvallers bestanden niet konden ontsleutelen. Het Britse National Cyber Security Centre zei bijvoorbeeld: "De malware was niet ontworpen om te worden ontsleuteld. Dit betekende dat er voor slachtoffers geen manier was om gegevens te herstellen nadat ze waren versleuteld." Onderzoekers van Vice kwamen er echter achter dat NotPetya hackers toch alle bestanden die door de ransomware waren versleuteld konden ontgrendelen.

Wat voor aanval was NotPetya?

NotPetya was hoogstwaarschijnlijk een cyberaanval. De auteurs leken meer geïnteresseerd in het verstoren van systemen dan in het genereren van inkomsten en het is onwaarschijnlijk dat kleine hackers de middelen of vaardigheden hadden om Petya zo snel te ontwikkelen tot NotPetya.

Op wie was NotPetya gericht?

Hoewel NotPetya zich organisch verspreidde over Europa, Azië en Noord-Amerika, was het eigenlijke doelwit waarschijnlijk Oekraïne. NotPetya trof overheids-, transport-, energie- en financiële sectoren, wat resulteerde in grote geld- en productiviteitsverliezen in het Europese land. De NotPetya-aanval begon ook aan de vooravond van de Dag van de Grondwet in Oekraïne.

Wie is NotPetya begonnen?

NotPetya heeft de kenmerken van door de staat gesponsorde cyberoorlog. Oekraïense politici gaven Russische veiligheidsdiensten de schuld van NotPetya en de Amerikaanse regering was het daarmee eens. Het Kremlin ontkende deze beweringen en wees erop dat de ransomware zich ook naar Rusland verspreidde. Een nationale woordvoerder zei echter dat de aanval geen ernstige schade had aangericht in Rusland.  

Is NotPetya ransomware?

Sommige experts beweren dat NotPetya geen ransomware is omdat de auteurs niet de mogelijkheid hebben om computers te ontsleutelen. Maar het antwoord op de vraag "Is NotPetya een ransomware" hangt af van dedefinitie van uw ransomware. u zou kunnen zeggen dat NotPetya ransomware is, ongeacht het vermogen van de auteurs om computers te ontsleutelen, omdat het gebruikers de toegang tot hun bestanden of systeem ontzegt en losgeld eist. Op dezelfde manier is WannaCry ook een ransomware, ook al hebben de auteurs de mogelijkheid om computers te ontsleutelen.

Hoe Petya stoppen

u Misschien heeft u gelezen hoe bedreigingsactoren zwakke plekken in SMB gebruiken om ransomware-aanvallen zoals NotPetya en WannaCry uit te voeren. Het downloaden van de nieuwste Windows Server Message Block (SMB) patches kan deze beveiligingslekken dichten. Het is ook belangrijk om beveiligingssoftware te gebruiken die bescherming biedt tegen ransomware. Regelmatig een back-up maken van uw gegevens kan u ook helpen om voorbereid te zijn in het geval van een ransomware-aanval.