Petya/Golden Eye/NotPetya
Petya/GoldenEye (auch als NotPetya bekannt) ist ein groß angelegter Ransomware-Angriff, der 2017 gestartet wurde. Petya wurde für Microsoft Windows-Geräte entwickelt und infizierte den Master Boot Record des angegriffenen Computers, um eine Payload auszuführen, die die Dateizuordnungstabelle der Festplatte verschlüsselte und so verhinderte, dass sich Windows ordnungsgemäß starten ließ.
So wurden infizierte Computer nach dem Neustart gesperrt, und Petya forderte ein Lösegeld in Kryptowährung, um den Zugriff auf das System wieder zu erlauben.
Zeitlicher Ablauf des Angriffs
Petya wurde 2016 erstmals entdeckt, doch erst am 27. Juni 2017 wurde ein massiver Cyber-Angriff mit einer Variante der Ransomware gestartet, die sich in mehr als 60 Länder ausbreitete. Die Bedrohung, die über schädliche E-Mail-Anhänge verbreitet wurde, wurde laut Microsoft erstmals in der Ukraine erkannt, wo mehr als 12.500 Computer betroffen waren. Seitdem hat sich Petya in mindestens 64 weitere Länder verbreitet, darunter nach Russland, Polen, Italien und Deutschland.
Am 28. Juni veröffentlichte Microsoft einen Post mit dem Inhalt, dass Ziel des Angriffs die M.E.Doc-Software gewesen sei, ein Steuervorbereitungsprogramm, das als Verbreitungsvektor diente.
Anfang Juli gab die Gruppe, die hinter dem Angriff stand, auf dem Tor-spezifischen Ankündigungsdienst DeepPaste ihre erste öffentliche Erklärung ab. In der Nachricht boten die Autoren von Petya gegen Zahlung von 100 Bitcoin (etwa 250.000 US-Dollar) den beim Angriff verwendeten privaten Verschlüsselungsschlüssel an. Der vom Weißen Haus geschätzte Gesamtschaden von Petya belief sich auf 10 Milliarden US-Dollar; außerdem der Angriff wurde mit russischen Geheimdiensten in Verbindung gebracht.
Durchführung
Petya verteilte sich über den EternalBlue-Exploit, von dem allgemein angenommen wird, dass er von der amerikanischen National Security Agency (NSA) eingerichtet wurde, und war früher im Jahr von der Ransomware WannaCry genutzt worden. Wenn sie über Administratorrechte verfügte, verschlüsselte die Version der Malware nicht nur Dateien auf dem angegriffenen Computer, sondern auch den MBR, und blockierte so den Zugriff auf den Computer.
Petya wurde als DLL durch einen Export mit dem Namen eines Parameters verteilt, der sich bei jedem Mal änderte und beim Starten des Verschlüsselungsprozesses generiert wurde. Bei der Ausführung verschlüsselte Petya dann bestimmte Dateien in kompromittierten Systemlaufwerken. Wenn der Trojaner über Administratorrechte verfügte, verschlüsselte er auch den Startsektor des Systems, sodass Zugriff auf den Computer nur noch möglich war, wenn ein Entschlüsselungsschlüssel eingegeben wurde.
Das Muster erzeugte eine geplante Aufgabe, um den Computer anschließend herunterzufahren. Nach dem Neustart des Computers zeigte Petya ein gefälschtes Fenster an, in dem behauptet wurde, dass ein Festplattenproblem behoben wird. Danach wurde ein Fenster angezeigt, in dem das Lösegeld gefordert wurde.
So schützen Sie sich vor Petya
- Halten Sie Betriebssystem und Sicherheitssoftware auf dem neuesten Stand, und stellen Sie sicher, dass die neuesten Sicherheitsfunktionen Ihrer Firewall und Virenschutz-Lösung aktiviert sind.
- Seien Sie vorsichtig mit Dokumenten, die in E-Mails von nicht vertrauenswürdigen Absendern enthalten sind.
- Implementieren Sie erweiterte Sicherheitsmaßnahmen wie Panda Dome mit Viren- und Malware-Schutz.
- Scannen Sie alle eingehenden und ausgehenden E-Mails, um Bedrohungen zu erkennen, und filtern Sie ausführbare Dateien, um zu verhindern, dass sie an Endbenutzer gelangen.
- Führen Sie regelmäßige Sicherungen Ihrer Daten durch, und sorgen Sie dafür, dass diese ordnungsgemäß funktionieren und für andere im Netzwerk nicht zugänglich sind.
