Was ist Petya-Ransomware?

Petya-Ransomware ist eine Familie von besonders virulenter Malware, die den Zugriff auf Computersysteme blockiert, bis ein Opfer ein Lösegeld zahlt. Im Gegensatz zu anderen Arten von Ransomware, die einzelne Dateien auf Festplatten und Servern verschlüsseln, greift Petya Microsoft Windows-Betriebssysteme an, um den Master Boot Record (MBR) und die Master File Table (MFT) zu verschlüsseln, wodurch Computer nicht mehr starten können.

Es ist zwar nicht genau bekannt, wer hinter der Ransomware Petya steckt, doch Analysten führen die Cyberangriffe auf Cyberkriminelle zurück, die Lösegeldforderungen stellen, um sich finanziell zu bereichern. Petya-Ransomware wurde ursprünglich 2016 entdeckt.

Im Jahr 2017 kam es weltweit zu Infektionen von Unternehmen durch eine neue Variante von Petya. Da sie Petya bis auf einige wesentliche Unterschiede ähnelte, wurde diese neue Ransomware-Variante von Cybersicherheitsexperten als NotPetya bezeichnet. Sie nutzte dieselbe EternalBlue-Schwachstelle, die zuvor beim WannaCry-Ransomware-Angriff beobachtet wurde.

Obwohl NotPetya ursprünglich wie eine Ransomware erschien, wurde später festgestellt, dass diese neue Variante eher wie ein Wiper funktionierte, der Dateien verschlüsselte, jedoch keine Wiederherstellung ermöglichte, da die Links für die Zahlung in der Lösegeldforderung gefälscht waren. Wiper-Malware ist darauf ausgelegt, Daten zu zerstören oder zu beschädigen, nicht jedoch Lösegeld zu erpressen.

Da die äußerst zerstörerischen NotPetya-Angriffe ursprünglich gegen Unternehmen in der Ukraine eingesetzt wurden, gehen Sicherheitsforscher davon aus, dass die NotPetya-Variante möglicherweise von staatlich geförderten Hackern mit Zustimmung der russischen Regierung ins Leben gerufen wurde.

Die Malware verbreitete sich rasch in ganz Europa und schädigte Unternehmen, indem sie Schwachstellen in veralteten Windows-Systemen ausnutzte. Einer der raffiniertesten NotPetya-Angriffe erfolgte auf das globale Logistikunternehmen Maersk.

Dabei unterschied sich NotPetya von Petya hinsichtlich seiner Verbreitungstechniken. NotPetya nutzte einen Aktualisierungsmechanismus der Buchhaltungssoftware MeDoc oder M.E.Doc aus, um ukrainische Unternehmen zu schädigen. Weitere Verbreitungstechniken umfassten Backdoors und die Verwendung des Mimikatz-Tools, mit dem die Windows-Anmeldedaten eines Nutzers gestohlen werden. NotPetya verbreitete sich auch, indem es legitime Tools wie PsExec und Windows Management Instrumentation (WMI) in Trojaner umwandelte.

Petya-Ransomware verbreitet sich hauptsächlich durch Phishing-E-Mails, die schädliche Anhänge enthalten. Dazu gehören E-Mails an Personalabteilungen mit gefälschten Bewerbungen.

Petya-Ransomware ersetzt den MBR durch schädlichen Code, der das Dateisystem der Festplatte verschlüsselt. Nach dem Neustart des Systems wird eine Lösegeldforderung angezeigt, in der eine Zahlung in Bitcoin als Gegenleistung für einen Entschlüsselungscode verlangt wird.

Um Ransomware wie Petya und NotPetya zu verhindern, müssen IT- und Sicherheitsteams mehrere Stufen von Anti-Ransomware-Tools und Cybersicherheitsmaßnahmen  ein- bzw. umsetzen. Dazu gehören:

• Updates und Patches für Betriebssysteme und Software: Regelmäßige Updates und Patches können helfen, die Schwachstellen zu beseitigen, die von Ransomware-Angriffen ausgenutzt werden. IT-Teams müssen dabei besonders auf Patches für Schwachstellen wie EternalBlue achten und veraltete Protokolle wie SMBv1 deaktivieren.
• Cybersicherheitsprodukte: Technologien wie Firewalls, Intrusion-Prevention-Systeme (IPS), DNS- und Netzwerkfilter, Anwendungszulassungslisten und Zero-Trust-Lösungen helfen, Bedrohungen zu blockieren und potenziell verdächtige Aktivitäten zu erkennen.
• Antivirus und Anti-Malware: Diese Lösungen bieten Echtzeitschutz vor Malware und Exploits.
• Backups: Das Anlegen von Sicherungskopien wichtiger Dateien kann Unternehmen helfen, den normalen Betrieb nach einem Angriff durch die Ransomware Petya schneller wiederherzustellen. Neben häufigen Backups müssen IT-Teams sicherstellen, dass eine Kopie von Dateien in einem Offline-Backup aufbewahrt wird, um eine Infektion durch Malware und Ransomware zu verhindern.
• Training: Sicherheitsschulungen vermitteln Mitarbeitern Kenntnisse darüber, wie sie Phishing-Angriffe erkennen können, und vermitteln Sicherheitsgewohnheiten, die dazu beitragen können, Angriffe wie jene durch Petya-Ransomware zu vermeiden.
• E-Mail-Filter: Das Scannen von E-Mails auf Malware und schädliche Links sowie das Blockieren potenzieller schädlicher Anhänge kann verhindern, dass Petya-Ransomware Endnutzer erreicht.
• Strenges Identitäts- und Zugriffsmanagement: Durch die Einführung identitätsbasierter Abwehrmechanismen können Unternehmen mit stark verteilten IT-Umgebungen unbefugten Zugriff durch Hacker verhindern, die Malware und Ransomware verbreiten möchten.

IT- und Sicherheitsteams können Petya-Code in mehreren Schritten entfernen.

• Isolierung: IT-Teams müssen infizierte Systeme von anderen Teilen des Netzwerks abschotten, um eine Ausbreitung der Infektion zu verhindern.
• Identifizierung: Die korrekte Identifizierung der Ransomware-Variante ist von entscheidender Bedeutung, um die beste Methode zur Beseitigung der Infektion zu ermitteln und mögliche Entschlüsselungstools zu finden.
• Entfernung: IT-Teams können dann mithilfe spezieller Tools die betroffenen Laufwerke bereinigen, Exploit-Kits entfernen und alle Schwachstellen beheben, die Angreifer möglicherweise genutzt haben, um die Ransomware erneut zu installieren.
• Wiederherstellung: Betroffene Dateien können aus einer virenfreien Sicherungskopie wiederhergestellt werden.
• Kontakt: Die Koordination mit Strafverfolgungsbehörden kann dazu beitragen, die Cyberkriminalitätsbanden zu finden, die für Ransomware-Angriffe verantwortlich sind.