Petya ist ein Ransomware-Stamm, der erstmals im Jahr 2016 auftrat. NotPetya ist ein Malware-Stamm, der viele Ähnlichkeiten mit Petya aufweist, sich aber anders verhält.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Petya ist ein Ransomware-Stamm, der erstmals im Jahr 2016 entdeckt wurde. Wie andere Arten von Ransomware verschlüsselt Petya die Dateien und Daten auf dem Computer des Opfers. Die Betreiber von Petya verlangen eine Zahlung in Bitcoin, bevor sie die Dateien entschlüsseln und wieder nutzbar machen.
Im Gegensatz zu einigen älteren Ransomware-Stämmen, die nur bestimmte wichtige Dateien verschlüsseln, um das Opfer zu erpressen, sperrt Petya die gesamte Festplatte eines Computers. Genauer gesagt verschlüsselt es die Master File Table (MFT) eines Computers, was den Zugriff auf alle Dateien auf der Festplatte unmöglich macht.
Petya wurde bisher nur bei Computern mit Windows-Betriebssystemen beobachtet.
Ähnlich wie viele andere Ransomware-Angriffe verbreitet sich Petya hauptsächlich über E-Mail-Anhänge. Die Angreifer senden E-Mails an Personalabteilungen und hängen gefälschte Bewerbungen an. Die angehängten PDFs enthalten entweder einen infizierten Dropbox-Link oder sind getarnte ausführbare Dateien – je nach der verwendeten Angriffsmethode.
Im Juni 2017 infizierte eine neue Art von Ransomware, die in vielerlei Hinsicht Petya ähnelte, Organisationen in aller Welt. Aufgrund seiner Ähnlichkeiten mit Petya, aber mit einigen entscheidenden Unterschieden, nannte der Sicherheitsanbieter Kaspersky ihn „NotPetya“. NotPetya hatte bis zum 28. Juni 2017 mindestens 2.000 Organisationen befallen. Die große Mehrheit der betroffenen Unternehmen befand sich in der Ukraine.
Wie Petya befiel auch die Ransomware NotPetya die gesamte Festplatte des Opfers. Allerdings verschlüsselte NotPetya die gesamte Festplatte selbst und nicht die MFT. Die Ransomware verbreitete sich plötzlich und schnell und infizierte rasch ganze Netzwerke. Sie nutzte verschiedene Sicherheitslücken und Methoden zum Diebstahl von Zugangsdaten.
Insbesondere wurde beobachtet, dass NotPetya dieselbe Sicherheitslücke von EternalBlue (CVE-2017-0144) nutzte, die zuvor im Jahr 2017 von dem weltweiten WannaCry-Angriff verwendet wurde. Dadurch konnte sich der Virus schnell über Netzwerke verbreiten, ohne dass die Nutzer eingreifen mussten – im Gegensatz zu Petya, bei dem Nutzer einen böswilligen E-Mail-Anhang öffnen mussten, um die Infektion zu starten. Microsoft hatte im März 2017 einen Patch für die Sicherheitslücke EternalBlue veröffentlicht, aber viele Unternehmen hatten den Patch nicht installiert.
Sie sind dasselbe. Verschiedene Vertreter der Sicherheitsbranche gaben diesem Malware-Stamm unterschiedliche Namen. Zu den Namen für NotPetya gehörten Petya 2.0, ExPetr und GoldenEye.
Im Gegensatz zu den meisten Ransomware-Programmen, die im Austausch gegen ein Lösegeld den Zugriff auf Dateien vorübergehend beschädigen oder einschränken, wirkte NotPetya rein destruktiv. Es gab keine Möglichkeit, den verursachten Schaden rückgängig zu machen; im Grunde wurden die Dateien komplett gelöscht, ohne Hoffnung auf Wiederherstellung.
Es wurde zwar immer noch eine Lösegeldnachricht angezeigt, aber diese Taktik diente möglicherweise nur dazu, die Absichten der Angreifer zu verschleiern. Und selbst wenn NotPetya-Opfer das Lösegeld hätten zahlen wollen, zeigte die Nachricht eine gefälschte, zufällig generierte Bitcoin-Adresse an. Es gab für die Angreifer keine Möglichkeit, das Lösegeld zu kassieren. Dies deutet darauf hin, dass NotPetya auf Zerstörung und nicht auf finanziellen Gewinn aus war.
Echte Ransomware ist nicht darauf ausgelegt, Dateien und Daten gleich zu Beginn vollständig zu vernichten. Zwar können einige Ransomware-Angreifer dies nachträglich tun, wenn das Lösegeld nicht gezahlt wird, aber die sofortige Löschung von Dateien und Daten motiviert die Opfer nicht zur Zahlung, denn es besteht keine Hoffnung, ihre Dateien wiederzubekommen. Die Motivation für die meisten Ransomware-Angreifer ist Geld. Sie sind nicht daran interessiert, die Systeme der Opfer dauerhaft zu schädigen.
Und während die Angreifer hinter den Petya-Angriffen 2016 wohl typische Ransomware-Cyberkriminelle waren, erklärten 2018 mehrere Staaten die russische Regierung als direkten Drahtzieher der NotPetya-Angriffe. Dies legt nahe, dass die NotPetya-Angriffe möglicherweise politisch motiviert waren.
Mit diesen drei Schritten können Sie einen Petya- oder NotPetya-Angriff weitaus unwahrscheinlicher machen:
Weitere Informationen finden Sie unter Wie Sie Ransomware verhindern können.
Organisationen können auch Cloudflare One einsetzen. Cloudflare One ist eine Plattform, die Nutzern hilft, sich sicher mit den gewünschten Ressourcen zu verbinden. Mit einem Zero Trust-Sicherheitsansatz hilft Cloudflare One, Ransomware-Infektionen zu verhindern und einzudämmen.