Wat zijn Petya en NotPetya ransomware?
Petya en NotPetya troffen respectievelijk in 2016 en 2017 computers, waarbij de laatste tot miljarden dollars aan schade leidde. De eerste variant van Petya versleutelde master boot records om hele harde schijven ontoegankelijk te maken, in plaats van specifieke bestanden te versleutelen zoals typische ransomware. Een andere variant van Petya was echter gevaarlijker, omdat het opstartrecords infecteerde en documenten versleutelde.
Een aanzienlijk gewijzigde versie van Petya, door onderzoekers NotPetya genoemd, was destructiever en productiever dan oude Petya-versies. In tegenstelling tot Petya, was NotPetya mogelijk een cyberwapen. Het trof voornamelijk organisaties in Oekraïne.
Wat is Petya?
Petya is een versleutelingsmalware die onderzoekers in 2016 ontdekten. De naam is geïnspireerd door een fictieve Sovjetraket uit de James Bond-film GoldenEye (1995). Hoewel de penetratiegraad van Petya gemiddeld was, was de versleutelingstechniek innovatief en ongebruikelijk.
Wat deed Petya?
De ransomware verspreidde zich via phishing-e-mails met een PDF die als Trojaans paard fungeerde. Zodra iemand Petya activeerde en admin-toegang gaf, begon de ransomware te werken. Na het herstarten van de computer van een doelwit, als een boot sector virus, overschreef het de Master Boot Record (MBR) om de harde schijf te versleutelen. Hoewel de bestanden op een computer geïnfecteerd door Petya niet werden versleuteld, beschadigd of verloren, waren ze ontoegankelijk. Petya eiste Bitcoin van slachtoffers om de toegang te herstellen.
Wat is het verschil tussen Petya en NotPetya?
NotPetya was een opgevoerde versie van Petya. Cybersecurity-experts noemden het "NotPetya," en de naam bleef hangen. Hoewel zowel Petya als NotPetya een cybercrimineel kunnen helpen bij het lanceren van een ransomware-aanval, zijn er enkele cruciale verschillen.
1. Verspreiding
Petya verspreidde zich om een paar redenen niet zo snel als NotPetya. Ten eerste probeerde het gebruikers te misleiden om het te openen, en veel moderne computergebruikers herkennen sociale engineeringtechnieken zoals phishing-aanvallen. De originele variant van Petya vereiste ook admin-rechten die veel ervaren gebruikers niet deelden. Aan de andere kant verspreidde NotPetya zich sneller via achterdeuren, exploits zoals Eternal Blue, en kwetsbaarheden in externe toegang. Je kunt meer lezen over EternalPetya voor meer informatie over de Petya ransomware-familie.
2. Encryptie
Zoals hierboven vermeld, versleutelt de originele versie van Petya geen bestanden, alleen het boot record om te voorkomen dat slachtoffers Windows laden. Daarentegen versleutelde NotPetya bestanden en beschadigde zelfs sommige opslagdrives. De twee verschilden ook in hun displays en berichten aan hun doelwitten. Interessant genoeg, een tweede variant van Petya uitgerust met de ransomware payload Mischa versleutelt ook documenten en heeft geen administratieve rechten van het slachtoffer nodig.
3. Decryptie
Veel experts beweerden dat NotPetya-aanvallers geen bestanden konden ontsleutelen. Bijvoorbeeld, de UK's National Cyber Security Centre zei: "De malware was niet ontworpen om ontsleuteld te worden. Dit betekende dat er geen middelen waren voor slachtoffers om gegevens te herstellen zodra deze waren versleuteld." Echter, onderzoekers van Vice ontdekten dat NotPetya-hackers toch alle bestanden die door de ransomware waren versleuteld, konden ontgrendelen.
Wat voor soort aanval was NotPetya?
NotPetya was hoogstwaarschijnlijk een cyberaanval. De auteurs leken meer geïnteresseerd in het verstoren van systemen dan winst maken, en het is onwaarschijnlijk dat onbeduidende hackers de middelen of vaardigheden hadden om Petya zo snel in NotPetya te ontwikkelen.
Wie richtte zich op NotPetya?
Hoewel NotPetya zich organisch verspreidde over Europa, Azië en Noord-Amerika, was het daadwerkelijke doelwit waarschijnlijk Oekraïne. NotPetya trof overheids-, transport-, energie- en financiële sectoren, wat resulteerde in aanzienlijke financiële en productiviteitsverliezen in het Europese land. De NotPetya-aanval begon ook op de vooravond van Oekraïne's Dag van de Grondwet.
Wie begon NotPetya?
NotPetya heeft de kenmerken van door de staat gesponsorde cyberoorlogsvoering. Oekraïense politici gaven Russische veiligheidsdiensten de schuld van NotPetya, en de Amerikaanse regering was het daarmee eens. Het Kremlin reageerde door deze beweringen te ontkennen en erop te wijzen dat de ransomware zich ook naar Rusland verspreidde. Echter, een nationale woordvoerder zei dat de aanval niet veel schade in Rusland veroorzaakte.
Is NotPetya ransomware?
Sommige experts beweren dat NotPetya geen ransomware is omdat de auteurs mogelijk niet in staat zijn om computers te ontsleutelen. Maar het antwoord op "Is NotPetya een ransomware" hangt af van je ransomware-definitie. Je zou kunnen zeggen dat NotPetya ransomware is, ongeacht de mogelijkheden van zijn auteurs om computers te ontsleutelen, omdat het gebruikers verhindert toegang te krijgen tot hun bestanden of systeem en losgeld eist. Evenzo is WannaCry ook een ransomware-variant, ook al kunnen de auteurs mogelijk computers ontsleutelen.
Hoe kun je Petya stoppen?
Je hebt misschien gelezen over hoe dreigingsactoren SMB-kwetsbaarheden gebruiken om ransomware-aanvallen zoals NotPetya en WannaCry te lanceren. Het downloaden van de nieuwste Windows Server Message Block (SMB) patches kan deze beveiligingslekken dichten. Het gebruik van beveiligingssoftware die tegen ransomware kan beschermen, is ook belangrijk. Regelmatig een back-up van je gegevens maken kan je ook helpen voorbereid te zijn in geval van een ransomware-aanval.