Petya en NotPetya ransomware

Petya en NotPetya waren respectievelijk cyberaanvallen in 2016 en 2017. Beide omvatten ransomware, maar NotPetya was zelfs geavanceerder dan Petya.

.st0{fill:#0D3ECC;} DOWNLOAD MALWAREBYTES GRATIS

Ook voor Windows, iOS, Android, Chromebook en Voor Bedrijven

Wat zijn Petya en NotPetya ransomware?

Petya en NotPetya troffen respectievelijk in 2016 en 2017 computers, waarbij de laatste tot miljarden dollars aan schade leidde. De eerste variant van Petya versleutelde master boot records om hele harde schijven ontoegankelijk te maken, in plaats van specifieke bestanden te versleutelen zoals typische ransomware. Een andere variant van Petya was echter gevaarlijker, omdat het opstartrecords infecteerde en documenten versleutelde.

Een aanzienlijk gewijzigde versie van Petya, door onderzoekers NotPetya genoemd, was destructiever en productiever dan oude Petya-versies. In tegenstelling tot Petya, was NotPetya mogelijk een cyberwapen. Het trof voornamelijk organisaties in Oekraïne.

Wat is Petya?

Petya is een versleutelende malware die onderzoekers in 2016 hebben ontdekt. De naam is geïnspireerd op een fictieve Sovjetsatelliet uit de James Bond-film GoldenEye (1995). De penetratiegraad van Petya was gemiddeld, maar de versleutelingstechniek was innovatief en ongebruikelijk.

Wat deed Petya?

De ransomware verspreidde zich via phishingmails met een PDF als Trojaans paard. Zodra iemand Petya activeerde en admin-toegang gaf, ging de ransomware aan het werk. Na het herstarten van de computer van het doelwit, zoals een bootsectorvirus, overschreef het de Master Boot Record (MBR) om de harde schijf te versleutelen. Hoewel de bestanden op een door Petya geïnfecteerde computer niet werden versleuteld, beschadigd of verloren gingen, waren ze wel ontoegankelijk. Petya eiste Bitcoin van slachtoffers om de toegang te herstellen.

Wat is het verschil tussen Petya en NotPetya?

NotPetya was een opgevoerde versie van Petya. Cybersecurity-experts noemden het "NotPetya," en de naam bleef hangen. Hoewel zowel Petya als NotPetya een cybercrimineel kunnen helpen bij het lanceren van een ransomware-aanval, zijn er enkele cruciale verschillen.

1. Verspreiding

Petya verspreidde zich om een paar redenen lang niet zo snel als NotPetya. Ten eerste probeerde het gebruikers te verleiden om het te openen, en veel moderne computergebruikers kunnen social engineering-technieken zoals phishing-aanvallen herkennen. De oorspronkelijke variant van Petya vereiste ook beheerdersrechten die veel ervaren gebruikers niet deelden. Aan de andere kant verspreidde NotPetya zich sneller via backdoors, exploits zoals Eternal Blue en kwetsbaarheden voor externe toegang. u lezen over EternalPetya voor meer informatie over de Petya-ransomwarefamilie.

2. Encryptie

Zoals hierboven vermeld, versleutelt de originele versie van Petya geen bestanden, alleen het boot record om te voorkomen dat slachtoffers Windows laden. Daarentegen versleutelde NotPetya bestanden en beschadigde zelfs sommige opslagdrives. De twee verschilden ook in hun displays en berichten aan hun doelwitten. Interessant genoeg, een tweede variant van Petya uitgerust met de ransomware payload Mischa versleutelt ook documenten en heeft geen administratieve rechten van het slachtoffer nodig.

3. Decryptie

Veel experts beweerden dat NotPetya-aanvallers bestanden niet konden ontsleutelen. Het Britse National Cyber Security Centre zei bijvoorbeeld: "De malware was niet ontworpen om te worden ontsleuteld. Dit betekende dat er voor slachtoffers geen manier was om gegevens te herstellen nadat ze waren versleuteld." Onderzoekers van Vice ontdekten echter dat NotPetya hackers toch alle bestanden konden ontsleutelen die door de ransomware waren versleuteld.

Wat voor soort aanval was NotPetya?

NotPetya was hoogstwaarschijnlijk een cyberaanval. De auteurs leken meer geïnteresseerd in het verstoren van systemen dan winst maken, en het is onwaarschijnlijk dat onbeduidende hackers de middelen of vaardigheden hadden om Petya zo snel in NotPetya te ontwikkelen.

Wie richtte zich op NotPetya?

Hoewel NotPetya zich organisch verspreidde over Europa, Azië en Noord-Amerika, was het daadwerkelijke doelwit waarschijnlijk Oekraïne. NotPetya trof overheids-, transport-, energie- en financiële sectoren, wat resulteerde in aanzienlijke financiële en productiviteitsverliezen in het Europese land. De NotPetya-aanval begon ook op de vooravond van Oekraïne's Dag van de Grondwet.

Wie begon NotPetya?

NotPetya heeft de kenmerken van door de staat gesponsorde cyberoorlogsvoering. Oekraïense politici gaven Russische veiligheidsdiensten de schuld van NotPetya, en de Amerikaanse regering was het daarmee eens. Het Kremlin reageerde door deze beweringen te ontkennen en erop te wijzen dat de ransomware zich ook naar Rusland verspreidde. Echter, een nationale woordvoerder zei dat de aanval niet veel schade in Rusland veroorzaakte.  

Is NotPetya ransomware?

Sommige experts beweren dat NotPetya geen ransomware is omdat de auteurs mogelijk niet in staat zijn om computers te ontsleutelen. Maar het antwoord op "Is NotPetya een ransomware" hangt af van je ransomware-definitie. Je zou kunnen zeggen dat NotPetya ransomware is, ongeacht de mogelijkheden van zijn auteurs om computers te ontsleutelen, omdat het gebruikers verhindert toegang te krijgen tot hun bestanden of systeem en losgeld eist. Evenzo is WannaCry ook een ransomware-variant, ook al kunnen de auteurs mogelijk computers ontsleutelen.

Hoe kun je Petya stoppen?

u hebt misschien gelezen hoe bedreigingsactoren zwakke plekken in SMB gebruiken om ransomware-aanvallen zoals NotPetya en WannaCry te lanceren. Het downloaden van de nieuwste Windows Server Message Block (SMB) patches kan deze beveiligingslekken dichten. Het is ook belangrijk om beveiligingssoftware te gebruiken die bescherming biedt tegen ransomware. Regelmatig een back-up maken van uw gegevens kan u ook helpen voorbereid te zijn in het geval van een ransomware-aanval