Was ist Petya-Ransomware und wie schützt man sich davor?
Petja und seine Adaption Nicht Petya richtete in den Jahren 2016 und 2017 durch gezielte Angriffe verheerende Schäden an. Die Ransomware Petya geriet in die Schlagzeilen, weil sie eine neue Entwicklung in der Schadsoftware darstellte
Cybersicherheitsunternehmen wie McAfee, Malwarebytes und Check Point betreiben Forschungslabore, in denen Analysten neue Viren untersuchen und deren Urheber ermitteln. Auch nationale Regierungen verfügen über eigene Cyber-Abwehrbehörden, die ähnliche Untersuchungen durchführen. Diese Sicherheitsexperten kamen in Bezug auf Petya zu dem gleichen Schluss, dass es sich um eine Tat handelte staatlich geförderter Terrorismus . Sie waren jedoch nicht korrekt.
Inhalt [ verstecken ]
- Was ist das Besondere an Petja?
- Woher kommt die Petya-Ransomware?
- Was bedeutet Petja?
- Versionen von Petya
- Wie funktioniert Petya Ransomware?
- Wie man mit einem Petya-Ransomware-Angriff umgeht
- Die besten Tools zum Schutz vor Petya-Ransomware
Was ist das Besondere an Petja?
Das bemerkenswerteste Merkmal von Petya ist, dass seine Schöpfer offenbar kein allzu großes Interesse daran hatten, Lösegelder zu kassieren. Eine weitere interessante Tatsache über Petya ist, dass seine berühmteste Version war eine gekaperte Kopie und nicht Eigentum des ursprünglichen Entwicklers.
Diese Version von Petya, die als Werkzeug der hybriden Kriegsführung galt, war in Wirklichkeit nicht Petya, sondern ein System, das von einer Hackergruppe mit Verbindungen zur russischen Regierung gebaut wurde, die Code von Petya entlehnte. Diese Raubkopie der Ransomware heißt Nicht Petya .
Der ursprüngliche Petya war nicht so bekannt. Der Name dieser Ransomware wurde jedoch weltberühmt, als die Raubkopie im Jahr 2017 weltweit verbreitet wurde.
Woher kommt die Petya-Ransomware?
Der Schöpfer von Petya wurde genannt Janus Cybercrime-Lösungen . Niemand weiß, wo diese Gruppe ihren Sitz hat, aber ihr Logo enthält das Hammer- und Sichelsymbol der Sowjetunion und sie identifiziert sich mit einem fiktiven russischen Verbrechersyndikat. Ziel der Gruppe war es, eine Ransomware-Vorlage bereitzustellen, die andere gegen eine Gebühr nutzen konnten. Das war ein Ransomware-as-a-Service Konzept, ähnlich den „Stresstest“-Diensten, die Ersteller von DDoS-Botnets zur Monetarisierung ihrer Vermögenswerte bereitstellen.
Mit dem ursprünglichen Petya nutzten die Angreifer, die Unternehmen mit Ransomware ins Visier nahmen, ein Tool. Jeder Benutzer richtete ein Konto ein und agierte als Partner, indem er das Toolkit für Angriffe nutzte und der Janus-Gruppe dann einen Prozentsatz seiner Einnahmen zahlte. Der Beta-Phase des ursprünglichen Petya stand Bewerbern nur auf Einladung offen.
Ein großes Problem für die Hacker bestand darin, dass das ursprüngliche Petya Administratorrechte benötigte. Die Inhaber dieser Konten in Unternehmen lassen sich nicht so leicht dazu verleiten, ihre Zugangsdaten preiszugeben. Ohne Administratorstatus für die Installation konnte die Petya-Software nicht ausgeführt werden. Also fügte Janus ein zweites System namens hinzu Mischa . Dadurch werden Dateien auf dem aktuellen Benutzerkonto verschlüsselt und es sind keine hohen Berechtigungen erforderlich. Die RaaS-Plattform wurde im Juli 2016 vollständig eröffnet.
Was bedeutet Petja?
Der James-Bond-Film GoldenEye war die Inspiration für den Namen Petya. Die Hacker, die ihn erstellt haben, übernahmen Namen und Bilder aus diesem Film, dessen Handlung sich um eine russische Hackergruppe drehte, die satellitengestützte Waffenwerfer kaperte.
Die Gruppe hatte einen Twitter-Account namens Janus Secretary und einen Avatar, der ein Bild des schottischen Schauspielers Alan Cumming zeigte Boris Grischenko , ein Hacker in der Gruppe, Janus-Syndikat .
In dem Film, der kurz nach der Auflösung der Sowjetunion spielt, übernimmt das Janus-Syndikat mithilfe von Malware die Kontrolle über zwei Satelliten aus der Sowjetzeit. Diese tragen GoldenEye-Waffen, bei denen es sich um Systeme mit elektromagnetischen Impulsen (EMP) handelt. Einer dieser Satelliten wurde aufgerufen Petja . Die RaaS-Website, die auf das Petya-System zugreift, trägt die Bezeichnung „Janus Cybercrime“. Als Janus sein zweites Infektionssystem zum Petya-Dienst hinzufügte, verwendete es den Namen des anderen GoldenEye-Satelliten – Mischa .
Versionen von Petya
Janus Cybercrime Solutions hat vier Versionen von Petya erstellt. Diese sind:
- Version 1.0 , bekannt als Red Petya, weil seine Lösegeldforderungen auf rotem Hintergrund standen und das Logo des Dienstes ein Totenkopf mit gekreuzten Knochen auf rotem Hintergrund war. Dies war während der Beta-Phase des RaaS live.
- Version 2.0 , Green Petya genannt, weil seine Farbpalette grünen Text auf schwarzem Hintergrund enthielt. Dies ist die Version, die mit Mischa zusammengearbeitet hat.
- Version 2.5 , gleiche Themen wie Green Petya, aber mit Fehlerbehebungen.
- Version 3.0 , bekannt als Goldeneye, verwendete für seine Kommunikation gelben Text auf schwarzem Hintergrund und für sein Totenkopf-Logo schwarzen Text auf gelbem Hintergrund. Dadurch wurde eine Umgehung der Benutzerzugriffskontrolle (UAC) hinzugefügt, um an Administratorrechte zu gelangen.
Goldeneye war die letzte offizielle Version von Petya und war bis Dezember 2016 aktiv. Versionen danach waren Raubkopien, die von anderen Hackerteams erstellt wurden, die sich den Petya-Code angeeignet und angepasst hatten. Dabei handelt es sich streng genommen nicht um neue Versionen von Petya, sondern um neue Viren, die einige der Prinzipien von Petya übernehmen. Diese sind:
- PetrWrap , das auf Green Petya basiert, aber über einen eigenen Lademechanismus verfügt.
- Santana , das eher eine Kopie von Mischa als von Petya ist.
- Petja+ Dieser im .NET-Framework geschriebene Virus verschlüsselt keine Dateien, sondern öffnet einen Sperrbildschirm mit einer Zahlungsaufforderung.
- Nicht Petya , auch bekannt als EternalPetya Und ExPetr basiert auf Goldeneye und ist die Kopie, die die meiste Aufmerksamkeit auf die Familie Petya lenkte. Die Hackergruppe Sandworm hat dies für den russischen Militärgeheimdienst entwickelt GRU .
Die echte Petja ist nicht mehr im Umlauf. Sie brauchen sich also keine Sorgen zu machen. Allerdings ist NotPetya ein hartnäckigeres Problem.
Wie funktioniert die Petya-Ransomware?
Petya rennt nur weiter Windows . Es überschreibt die Master Boot Record ( MBR ) eines infizierten Computers und verschlüsselt dessen Hauptdateitabelle ( MFT ). Es deaktiviert auch die Sicherheitsmodus . Das Ergebnis dieser Aktion ist, dass sowohl Dateien als auch das Betriebssystem blockiert werden, sodass es keine Möglichkeit mehr gibt, den Computer weiter zu nutzen, es sei denn, das Lösegeld wird gezahlt. Für diese Aktion ist Administratorzugriff erforderlich. Wenn dies nicht möglich ist, führt das Installationsprogramm stattdessen das Mischa-Ransomware-System aus. Dadurch werden Dateien verschlüsselt, sodass der Zugriff auf den Computer weiterhin möglich ist.
Ein Petya-Angriff beginnt mit eine Spam-E-Mail das angeblich wichtige Informationen in einem Anhang enthält. Benutzer, die diesen Anhang herunterladen und öffnen, lösen den Virus aus. Green Petya gab sich als Bewerbung aus und enthielt einen Link zu einem Profil. Das Profil enthielt eine herunterladbare PDF-Datei, die den Virus enthielt. Goldeneye richtete sich zunächst mit einer deutschsprachigen E-Mail, die einen infizierten Anhang enthielt, an Deutschland.
Der Dropper (Installer) kopiert die ausführbare Petya-Datei in die %ANWENDUNGSDATEN% Verzeichnis unter dem Namen eines zufällig gefundenen Programms auf dem Computer. Goldeneye wird die Mischa-Routine vor dem Petya-Angriff durchführen.
Wenn der Administratorzugriff erlaubt ist, stürzt der Computer ab und startet dann mit einer Fälschung neu CHKDSK Anzeige. Während Sie den Fortschritt dieses Vorgangs beobachten, beobachten Sie in Wahrheit den Fortschritt der Verschlüsselung des MFT, die mit dem durchgeführt wird Salsa20 Chiffre. Der Computer zeigt dann ein Totenkopf-Logo an. Die in diesem Bildschirm verwendeten Farben verraten Ihnen, mit welcher Version von Petya Sie es zu tun haben.
Wenn es sich bei der Petya-Version um Goldeneye handelt, ist die Erlaubnis des Administrators nicht erforderlich, um auf die MFT zuzugreifen. Red Petya schadet nicht, wenn das Benutzerkonto, auf das es herunterlädt, keine Administratorrechte hat. Green Petya wird es umsetzen Mischa wenn es nicht zum MFT gelangen kann, um seine Petya-Routine auszuführen. Mischa verschlüsselt Dateien im Konto mit einer Kombination aus asymmetrischen RSA Verschlüsselung und die AES Chiffre.
Ärgerlicherweise verschlüsselt Mischa auch, während sich andere Ransomware auf persönliche Dateien konzentriert, die Dokumente, Bilder, Videos und Audiodateien enthalten .EXE Dateien. Eine verschlüsselte Datei hat ihren ursprünglichen Namen, jedoch mit einer zusätzlichen Erweiterung am Ende, einer zufälligen Zeichenfolge. Durch das Umbenennen der Datei zum Entfernen dieser anderen Erweiterung wird der Inhalt nicht entschlüsselt.
Das Totenkopf-Logo ist animiert und nach Abschluss des ersten Durchlaufs wird auf dem Bildschirm eine Lösegeldforderung angezeigt. Es wird um eine Einzahlung gebeten Bitcoin . Laut Green Petya betrug das Lösegeld 1,93 Bitcoin, was damals 875 US-Dollar wert war. Heute wäre dieser Betrag 71.975 US-Dollar wert.
Die Anforderung gibt dem Benutzer Anweisungen, den Tor-Browser herunterzuladen und zu einer bestimmten Website zu gehen. Auf dieser Seite steht der Preis in Bitcoin. Der Benutzer muss eingeben eine eindeutige ID , die auf dem Lösegeldforderungsbildschirm angezeigt wird. Das Ergebnis des Bezahlvorgangs ist ein Entschlüsselungsschlüssel für Petya und a Entschlüsselungsdienstprogramm für Mischa.
Als NotPetya in Umlauf kam, schaltete Janus Cybercrime Solutions Petya ab und veröffentlichte seinen Hauptschlüssel, um alle vorherigen Angriffe zu entschlüsseln. Darüber hinaus produziert Malwarebytes Labs ein automatisierter Entschlüsseler basierend auf diesem Schlüssel, um Opfern zu helfen.
Wie man mit einem Petya-Ransomware-Angriff umgeht
Der beste Weg, mit Malware umzugehen, ist sei vorbereitet . Da E-Mail-Phishing-Scans, verlockende illegale Video-Downloads und infizierte Websites die am häufigsten genutzten Infektionskanäle sind; Sie müssen insbesondere auf die Sicherheit Ihrer Endpunkte achten.
Befolgen Sie diese vier Punkte, um die Anfälligkeit des Systems für Petya-Ransomware zu verhindern:
- Informieren Sie Benutzer über den Virenzugriff und erklären Sie ihnen, wie sie Infektionen vermeiden können.
- Verwenden Sie einen automatisierten Patch-Manager und Software-Updater
- Sichern Sie alle Systeme mit der Strategie, für jedes Gerät separate Backups zu erstellen
- Installieren Sie einen Endpunkterkennungs- und Reaktionsdienst
Mit den richtigen Tools für das System können Sie Infektionen durch Petya-Ransomware und andere Malware verhindern und sind in einer guten Position, sich von allen Ransomware-Angriffen zu erholen, die Ihre Abwehrkräfte zunichte machen.
Die besten Tools zum Schutz vor Petya-Ransomware
Die Geschichte der Petya-Ransomware-Familie zeigt, wie schnell Malware kann sich ändern . Alle acht Versionen und Adaptionen von Petya entstanden in etwas mehr als einem Jahr. Die Anschaffung eines Verteidigungstools, das jetzt gut funktioniert, bedeutet also nicht unbedingt, dass Sie vor zukünftigen Angriffen durch neue Malware geschützt sind.
Glücklicherweise können einige hervorragende Systeme bösartige Aktivitäten erkennen, selbst wenn sie durch noch nie zuvor aufgetretene Malware verursacht werden. Hier sind zwei Tools, die Sie ausprobieren können, um Endpunkte zu überwachen und Dateien vor Manipulationen zu schützen.
1. CrowdStrike Falcon Insight (KOSTENLOSE TESTVERSION)
CrowdStrike Falcon Insight kombiniert Endpoint-Software mit einer Cloud-Plattform. Dies ist eine Kombination aus CrowdStrike Falcon Prevent Antivirenpaket der nächsten Generation mit einem Cloud-basierten Koordinator, der als fungiert SIEM .
Der Vorteil dieser Konfiguration besteht darin, dass der Endpunktschutz auch dann bestehen bleibt, wenn das Gerät ausgeschaltet ist getrennt aus dem Netzwerk und dem Internet. Darüber hinaus wird das Cloud-Modul sofort mit den neuesten Bedrohungsinformationen aktualisiert und koordiniert Anweisungen an alle Endpoint-Agenten.
Falcon Insight aktualisiert Endpunkte Wenn verfügbar, laden die Endpunktagenten im Gegenzug Aktivitätsinformationen hoch. Das Insight-System durchsucht die Protokolle, die Prevent ihm sendet, um nach Anzeichen einer Kompromittierung zu suchen. Ein wesentlicher Vorteil der Verwendung des CrowdStrike-Systems besteht darin, dass es aufrechterhalten wird ein Forschungsteam das ständig nach neuen Viren und Ransomware sucht und Wege zu deren Bekämpfung erarbeitet. Die von den Falcon Prevent-Systemen hochgeladenen Daten bilden die Quelldaten für diese Untersuchungen.
CrowdStrike Falcon Insight schafft das Bedrohungsreaktion . Dieses Modul umfasst die Isolierung einer Maschine, wenn Ransomware erkannt wird. Der Dienst läuft auch eine schwarze Liste von infizierten Websites und bekannten Hacker-IP-Adressen. Falcon Insight ist auch hilfreich bei der Abwehr von Netzwerkeinbrüchen. Sie können Falcon Prevent 15 Tage lang kostenlos testen.
CrowdStrike Falcon Insight starten Sie die 15-tägige KOSTENLOSE Testversion
zwei. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus ist ein Daten- und Dateischutz. Daher ist es in der Lage, unbefugte Änderungen an Dateien zu erkennen, was genau die Aktivität ist, die die meisten Ransomware-Systeme durchführen. Darüber hinaus wird das ManageEngine-System installiert Windows Server und überwacht Geräte mit Windows, dem am häufigsten angegriffenen Betriebssystem.
Das DataSecurity Plus-System überwacht Dateien und identifiziert sie unautorisierte Änderungen . Sobald einer entdeckt wird, löst das System einen Alarm aus. Der Systemadministrator kann beim Einrichten der ManageEngine-Software entscheiden, was das Tool tun soll, um Malware-Aktivitäten zu identifizieren. Es ist möglich, einen Workflow einzurichten, der automatisierte Antworten einleitet, z Isolieren des Geräts oder Dateien wiederherstellen.
ManageEngine DataSecurity Plus kann auch Unternehmen unterstützen, die einen Datenschutzstandard einhalten, wie z PCI DSS , HIPAA , oder DSGVO . Der Dienst identifiziert sensible Datenspeicherorte und kategorisiert alle Dateninstanzen. Es verfolgt auch Aktivitäten im Zusammenhang mit sensiblen Daten. DataSecurity Plus ist verfügbar für eine 30-tägige kostenlose Testversion .