Was sind Petya und NotPetya?

Petya ist ein Ransomware-Stamm, der erstmals im Jahr 2016 auftrat. NotPetya ist ein Malware-Stamm, der viele Ähnlichkeiten mit Petya aufweist, sich aber anders verhält.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Petya-Ransomware definieren
  • Unterschiede zwischen Petya und NotPetya beschreiben
  • Erfahren Sie, wie Sie Petya- und NotPetya-Infektionen verhindern können

Link zum Artikel kopieren

Was ist Petya Ransomware?

Petya ist ein Ransomware-Stamm, der erstmals im Jahr 2016 entdeckt wurde. Wie andere Arten von Ransomware verschlüsselt Petya die Dateien und Daten auf dem Computer des Opfers. Die Betreiber von Petya verlangen eine Zahlung in Bitcoin, bevor sie die Dateien entschlüsseln und wieder nutzbar machen.

Im Gegensatz zu einigen älteren Ransomware-Stämmen, die nur bestimmte wichtige Dateien verschlüsseln, um das Opfer zu erpressen, sperrt Petya die gesamte Festplatte eines Computers. Genauer gesagt verschlüsselt es die Master File Table (MFT) eines Computers, was den Zugriff auf alle Dateien auf der Festplatte unmöglich macht.

Petya wurde bisher nur bei Computern mit Windows-Betriebssystemen beobachtet.

Wie verbreitet sich Petya Ransomware?

Ähnlich wie viele andere Ransomware-Angriffe verbreitet sich Petya hauptsächlich über E-Mail-Anhänge. Die Angreifer senden E-Mails an Personalabteilungen und hängen gefälschte Bewerbungen an. Die angehängten PDFs enthalten entweder einen infizierten Dropbox-Link oder sind getarnte ausführbare Dateien – je nach der verwendeten Angriffsmethode.

Was ist NotPetya?

Im Juni 2017 infizierte eine neue Art von Ransomware, die in vielerlei Hinsicht Petya ähnelte, Organisationen in aller Welt. Aufgrund seiner Ähnlichkeiten mit Petya, aber mit einigen entscheidenden Unterschieden, nannte der Sicherheitsanbieter Kaspersky ihn „NotPetya“. NotPetya hatte bis zum 28. Juni 2017 mindestens 2.000 Organisationen befallen. Die große Mehrheit der betroffenen Unternehmen befand sich in der Ukraine.

Wie Petya befiel auch die Ransomware NotPetya die gesamte Festplatte des Opfers. Allerdings verschlüsselte NotPetya die gesamte Festplatte selbst und nicht die MFT. Die Ransomware verbreitete sich plötzlich und schnell und infizierte rasch ganze Netzwerke. Sie nutzte verschiedene Sicherheitslücken und Methoden zum Diebstahl von Zugangsdaten.

Insbesondere wurde beobachtet, dass NotPetya dieselbe Sicherheitslücke von EternalBlue (CVE-2017-0144) nutzte, die zuvor im Jahr 2017 von dem weltweiten WannaCry-Angriff verwendet wurde. Dadurch konnte sich der Virus schnell über Netzwerke verbreiten, ohne dass die Nutzer eingreifen mussten – im Gegensatz zu Petya, bei dem Nutzer einen böswilligen E-Mail-Anhang öffnen mussten, um die Infektion zu starten. Microsoft hatte im März 2017 einen Patch für die Sicherheitslücke EternalBlue veröffentlicht, aber viele Unternehmen hatten den Patch nicht installiert.

Unterscheidet sich NotPetya von Petya 2.0?

Sie sind dasselbe. Verschiedene Vertreter der Sicherheitsbranche gaben diesem Malware-Stamm unterschiedliche Namen. Zu den Namen für NotPetya gehörten Petya 2.0, ExPetr und GoldenEye.

War NotPetya tatsächlich Ransomware?

Im Gegensatz zu den meisten Ransomware-Programmen, die im Austausch gegen ein Lösegeld den Zugriff auf Dateien vorübergehend beschädigen oder einschränken, wirkte NotPetya rein destruktiv. Es gab keine Möglichkeit, den verursachten Schaden rückgängig zu machen; im Grunde wurden die Dateien komplett gelöscht, ohne Hoffnung auf Wiederherstellung.

Es wurde zwar immer noch eine Lösegeldnachricht angezeigt, aber diese Taktik diente möglicherweise nur dazu, die Absichten der Angreifer zu verschleiern. Und selbst wenn NotPetya-Opfer das Lösegeld hätten zahlen wollen, zeigte die Nachricht eine gefälschte, zufällig generierte Bitcoin-Adresse an. Es gab für die Angreifer keine Möglichkeit, das Lösegeld zu kassieren. Dies deutet darauf hin, dass NotPetya auf Zerstörung und nicht auf finanziellen Gewinn aus war.

Echte Ransomware ist nicht darauf ausgelegt, Dateien und Daten gleich zu Beginn vollständig zu vernichten. Zwar können einige Ransomware-Angreifer dies nachträglich tun, wenn das Lösegeld nicht gezahlt wird, aber die sofortige Löschung von Dateien und Daten motiviert die Opfer nicht zur Zahlung, denn es besteht keine Hoffnung, ihre Dateien wiederzubekommen. Die Motivation für die meisten Ransomware-Angreifer ist Geld. Sie sind nicht daran interessiert, die Systeme der Opfer dauerhaft zu schädigen.

Und während die Angreifer hinter den Petya-Angriffen 2016 wohl typische Ransomware-Cyberkriminelle waren, erklärten 2018 mehrere Staaten die russische Regierung als direkten Drahtzieher der NotPetya-Angriffe. Dies legt nahe, dass die NotPetya-Angriffe möglicherweise politisch motiviert waren.

Wie Sie Infektionen mit Petya und NotPetya verhindern können

Mit diesen drei Schritten können Sie einen Petya- oder NotPetya-Angriff weitaus unwahrscheinlicher machen:

  • Stärkung der E-Mail-Sicherheitspraktiken: Die meisten Petya-Angriffe und einige NotPetya-Angriffe begannen mit einem infizierten E-Mail-Anhang. Um dies zu verhindern, können Unternehmen E-Mails auf Malware scannen, E-Mail-Anhänge aus externen Quellen blockieren und Nutzer darin schulen, das Öffnen von nicht vertrauenswürdigen Anhängen zu vermeiden.
  • Regelmäßiges Patchen von Sicherheitslücken: Für die Sicherheitslücke EternalBlue, die von NotPetya genutzt wurde, gab es bereits Monate vor den Angriffen einen Patch. Ransomware-Angriffe nutzen häufig Sicherheitslücken in der Software aus, um entweder in ein Netzwerk einzudringen oder sich lateral darin zu bewegen. Aktualisieren Sie Ihre Software und schließen Sie Sicherheitslücken, um diese Angriffsmöglichkeiten zu beseitigen.
  • Dateien und Daten sichern: Sicherungskopien wichtiger Dateien zu erstellen, verhindert zwar keine Ransomware-Infektionen, aber es hilft einem Unternehmen, sich schneller von einem solchen Angriff zu erholen. Im Falle eines Angriffs, bei dem Dateien wie bei NotPetya gelöscht werden, kann dies sogar die einzige Möglichkeit sein, die Dateien wiederherzustellen.

Weitere Informationen finden Sie unter Wie Sie Ransomware verhindern können.

Organisationen können auch Cloudflare One einsetzen. Cloudflare One ist eine Plattform, die Nutzern hilft, sich sicher mit den gewünschten Ressourcen zu verbinden. Mit einem Zero Trust-Sicherheitsansatz hilft Cloudflare One, Ransomware-Infektionen zu verhindern und einzudämmen.