Petya / NotPetya

Petya (aus dem slawischen - "Peterchen")  ist die Bezeichnung einer Erpressungssoftware (Ransomware), die 2016 weltweit Rechner tausender Firmen und Privatanwender lahmlegte. Petya wurde vorrangig als E-Mail verteilt, dessen Anhang ein wichtiges pdf-Dokument, Bewerbungsschreiben oder Vertrag vortäuschte. Wurde der Anhang heruntergeladen und geöffnet, so installierte sich Petya und verschlüsselte das Inhaltsverzeichnis der Festplatte sowie einige Dateien, woraufhin die befallenen Rechner unbrauchbar wurden.

Nach der Infektion mit Petya erschien eine Aufforderung, im Darknet gegen Bezahlung mit BitCoin einen Code zu erwerben, nach dessen Eingabe sich die Festplatte wieder entschlüsseln sollte. Bei den ersten Versionen von Petya funktionierte dieses Vorgehen noch, und für einige Varianten waren schließlich Masterpasswörter und funktionierende Anti-Virus Programme im Internet verfügbar, um Petya erfolgreich zu entfernen.

Die Erpresser entwickelten ihre Erpressersoftware aber so weiter (z.B. zu der Variante „GoldenEye“), dass mit Hilfe gewöhnlicher Methoden keine Entfernung der Schadsoftware mehr möglich war. Wahrscheinlich durch einen Programmierfehler wurde die Software schließlich nicht mehr entschlüsselbar, offenbar auch nicht für die Entwickler selbst.  

Im Juni 2017 erschien eine weitere mutmaßliche Variante von Petya. Da sich aber bald herausstellte, dass diese keine Weiterentwicklung von Petya war, verbreitete sich die Bezeichnung „NotPetya“.

Diese befiel weltweit Organisationen und Unternehmen über die Updatefunktion der ukrainischen Buchhaltungssoftware „MeDoc“, die viele Unternehmen nutzen, die in der Ukraine Umsatzsteuererklärungen erstellen müssen. Die Hersteller der Buchhaltungssoftware wurden offenbar selbst Opfer eines Angriffs, durch den Hacker den Schadcode in das Softwareupdate einschleusten, welches die Kunden über die Updatefunktion ihrer Buchhaltungssoftware gutgläubig installierten.

NotPetya nutzte die auch in der Schadsoftware WannaCry genutzte Schwachstelle ETERNALBLUE. Neben einigen cleveren Entwicklungen, die Verbreitung und Tarnung der Software verbesserten fiel auf, dass die Bezahlfunktion nur noch sehr rudimentär und wenig prominent in der Software abgebildet war. In Fachkreisen wird daher gemutmaßt, dass der Angriff weniger wirtschaftlichen Hintergrund hat und eher politisch motiviert ist.

Weitere Informationen

  • Kategorie: Glossar
  • Thema: Cyber Security