Thought Leadership
Petya und NotPetya markierten einen Wendepunkt in der Entwicklung von Ransomware. Diese beiden Malware-Varianten haben nicht nur erhebliche finanzielle Schäden verursacht, sondern auch neue Fragen zur Natur und den Zielen von Cyberangriffen aufgeworfen. Doch was steckt hinter den Ransomwares?
Dieser Artikel untersucht die Entstehung, die Unterschiede und die Auswirkungen der beiden Malwares sowie die Maßnahmen, die ergriffen werden können, um sich gegen solche Bedrohungen zu schützen.
Die Entstehung von Petya
Petya trat erstmals im März 2016 in Erscheinung. Der Name stammt aus Osteruopa und kommt dem deutschen Kosenamen Peterlein nahe. Die Schadsoftware unterschied sich von herkömmlicher Ransomware durch seine Methode, den Master Boot Record (MBR) von Festplatten zu verschlüsseln, anstatt auf einzelne Dateien zu zielen. Diese Technik machte es möglich, ganze Systeme unzugänglich zu machen, was eine deutlich größere Bedrohung darstellte als die traditionelle Dateiverschlüsselung. Die Malware verbreitete sich hauptsächlich durch Phishing-E-Mails, die ein PDF-Dokument als Trojanisches Pferd nutzten. Sobald ein Nutzer das Dokument öffnete und Admin-Rechte gewährte, wurde der MBR verschlüsselt, was den Zugriff auf das gesamte System verhinderte.
Die Evolution zu NotPetya
Im Juni 2017 wurde eine neue, weitaus gefährlichere Variante entdeckt, die als NotPetya bekannt wurde. Diese Version war nicht nur eine Weiterentwicklung in Bezug auf die Verschlüsselungstechnik, sondern auch in ihrer Verbreitungsmethode. Während sich die Ursprungs-Ransomware auf Social Engineering und Trojaner stützte, nutzte NotPetya Exploits wie EternalBlue und Remote-Zugriffsschwachstellen, um sich schnell und automatisch zu verbreiten. Sie war in der Lage, sich innerhalb eines infizierten Netzwerks seitwärts zu bewegen und dabei eine weit größere Anzahl von Systemen zu kompromittieren.
Unterschiede zwischen Petya und NotPetya
Die Hauptunterschiede liegen in ihrer Verbreitung, Verschlüsselung und Dekryptierung. NotPetya verbreitete sich schneller und effizienter, da es nicht auf das Öffnen einer infizierten Datei durch den Nutzer angewiesen war. In Bezug auf die Verschlüsselung verschlüsselte sie nicht nur den MBR, sondern auch Dateien, was zu irreparablen Schäden führte. Ein weiterer wichtiger Unterschied war, dass die neue Varaiante keine echte Möglichkeit zur Entschlüsselung bot, was darauf hindeutet, dass es eher als Wiper-Malware denn als Ransomware konzipiert war.
| Petya | NotPetya | |
|---|---|---|
| Entdeckung | März 2016 | Juni 2017 |
| Verbreitungsmethode | Hauptsächlich durch Phishing-E-Mails mit einem Trojanischen Pferd (PDF). | Nutzt Exploits wie EternalBlue, Remote-Zugriffsschwachstellen und Backdoors. |
| Ziel der Verschlüsselung | Verschlüsselt den Master Boot Record (MBR), nicht die Dateien selbst. | Verschlüsselt sowohl den MBR als auch Dateien. |
| Verbreitungsgeschwindigkeit | Langsamer, da es auf das Öffnen der infizierten Datei durch den Nutzer angewiesen war. | Schneller durch automatische und seitwärtige Bewegung innerhalb von Netzwerken. |
| Dekryptierungsmöglichkeit | Theoretisch möglich, obwohl komplex. | Keine echte Möglichkeit zur Entschlüsselung, funktioniert eher als Wiper-Malware. |
| Hauptziel | Durchschnittliche Penetrationsrate, zielte auf verschiedene Systeme weltweit. | Gezielte Angriffe, hauptsächlich auf die Ukraine, aber auch weltweite Ausbreitung. |
| Politische Dimension | Weniger offensichtlich. | Vermutlich staatlich geförderte Cyberkriegsführung, insbesondere gegen die Ukraine. |
| Schadensausmaß | Erheblich, aber geringer im Vergleich zur neueren Variante. | Verursachte weltweit erhebliche finanzielle und operative Schäden. |
Ziel und Auswirkungen
NotPetya zielte hauptsächlich auf Organisationen in der Ukraine ab, verbreitete sich aber schnell weltweit und verursachte erhebliche Schäden. Es traf kritische Infrastrukturen und große Unternehmen, was zu finanziellen Verlusten in Milliardenhöhe führte. Die Tatsache, dass die Ransomware gezielt am Vorabend des ukrainischen Verfassungstages gestartet wurde, deutet auf eine mögliche politische Motivation hinter dem Angriff hin.
Staatlich geförderte Cyberkriegsführung?
Die Komplexität und die gezielte Natur von NotPetya lassen auf eine staatlich geförderte Cyberkriegsführung schließen. Sowohl die ukrainische als auch die US-Regierung beschuldigten russische Sicherheitsdienste, hinter dem Angriff zu stecken. Diese Vorwürfe wurden von Russland bestritten.
Schutzmaßnahmen gegen Ransomware
Um sich vor Ransomware zu schützen, sind regelmäßige Sicherheitsupdates und Patches unerlässlich. Insbesondere sollten Schwachstellen wie SMB umgehend gepatcht werden. Der Einsatz von Sicherheitssoftware, die speziell gegen Ransomware schützt, ist ebenfalls wichtig. Darüber hinaus können regelmäßige Datensicherungen dazu beitragen, die Auswirkungen eines Ransomware-Angriffs zu minimieren.
Fazit
Petya und NotPetya repräsentieren eine neue Stufe in der Evolution von Cyberbedrohungen. Sie zeigen, wie schnell sich Cyberkriminalität entwickeln kann und wie wichtig es ist, auf dem neuesten Stand der Sicherheitstechnologie zu bleiben. Diese Vorfälle unterstreichen die Notwendigkeit für fortlaufende Wachsamkeit, verbesserte Sicherheitsmaßnahmen und internationale Zusammenarbeit, um effektiv gegen Cyberkriminalität vorzugehen.
