Petya & NotPetya – Die Ransomware, die alles anders machte

In der Geschichte der Cyberkriminalität gibt es einige Meilensteine – und Petya gehört zweifellos dazu. Erstmals 2016 entdeckt, unterschied sich diese Ransomware grundlegend von herkömmlichen Varianten. Statt einzelne Dateien zu verschlüsseln, nahm sie gleich das gesamte System ins Visier. Ihre Weiterentwicklung, NotPetya, löste 2017 eine globale Cyberkrise aus, die Milliarden an Schaden verursachte.

Petya ist eine besonders aggressive Form von Ransomware, die sich nicht auf Dateiebene, sondern auf Systemebene bewegt. Nach der Infektion manipuliert die Malware den Master Boot Record (MBR) sowie die Master File Table (MFT) – zwei essenzielle Komponenten des Windows-Dateisystems.

Typischer Ablauf eines Petya-Angriffs:

1. Infektion: Die Schadsoftware gelangt über Phishing-Mails oder manipulierte Anhänge ins System.
2. Rechteeskalation: Petya verschafft sich Admin-Rechte, oft durch die Ausnutzung von Schwachstellen.
3. MBR-Manipulation: Der MBR wird überschrieben, sodass das System nach einem Neustart nicht mehr korrekt starten kann.
4. Verschlüsselung der MFT: Die eigentlichen Dateiinformationen werden blockiert, wodurch das komplette System unbrauchbar wird.

Lösegeldforderung: Auf dem Bildschirm erscheint eine Meldung mit der Aufforderung, ein Lösegeld in Bitcoin zu zahlen, um den Entschlüsselungsschlüssel zu erhalten.

Im Juni 2017 tauchte eine vermeintlich neue Petya-Variante auf – genannt NotPetya. Doch schnell wurde klar: Diese Version war weitaus destruktiver.

Was machte NotPetya so besonders?

• Selbstverbreitung: NotPetya nutzte die EternalBlue-Sicherheitslücke, die auch für WannaCry verantwortlich war, und konnte sich somit netzwerkweit selbstständig verbreiten.
• Wiper statt Ransomware: Anders als normale Ransomware hatte NotPetya keinen funktionierenden Entschlüsselungsmechanismus. Das Lösegeld diente offenbar nur als Ablenkung. Ziel war vermutlich die Zerstörung von Daten, nicht deren Freigabe.

Ziele: NotPetya traf insbesondere ukrainische Institutionen, Banken, Energieversorger – verbreitete sich dann jedoch weltweit.

NotPetya verursachte laut Schätzungen einen wirtschaftlichen Schaden von mehreren Milliarden Dollar.

Betroffen waren u. a.:

• Maersk (Logistik)
• Merck (Pharma)
• Rosneft (Energie)
• TNT Express
• Regierungseinrichtungen und Flughäfen

Viele dieser Unternehmen mussten komplette IT-Infrastrukturen neu aufsetzen – ohne Aussicht auf Datenrettung.

Obwohl Petya und NotPetya heute keine akute Bedrohung mehr darstellen, leben ihre Techniken und Angriffsmuster in modernen Ransomware-Familien fort.

So schützen Sie sich:

• Sicherheitsupdates: Halten Sie alle Systeme aktuell, besonders im Bereich Betriebssystem und VPN.
• Offline-Backups: Regelmäßige Backups, die getrennt vom Hauptsystem gespeichert sind, können Leben retten.
• Zero Trust Netzwerkdesign: Minimieren Sie Rechte und segmentieren Sie Netzwerke, um Ausbreitung zu verhindern.
• Mitarbeiterschulung: Phishing bleibt der Einstiegspunkt Nummer 1. Sensibilisieren Sie Ihr Team.
• Notfallplan: Reaktionspläne und Datenrettungspartner sollten bereits vor dem Angriff bereitstehen.

Petya und insbesondere NotPetya haben die Welt gelehrt, dass Ransomware nicht nur ein IT-Problem ist, sondern eine globale Bedrohung für Wirtschaft, Infrastruktur und Gesellschaft. Ihre Spuren sind bis heute sichtbar.

Im Fall eines modernen Ransomware-Angriffs zählt jede Minute.

Wir sind Ihr Ansprechpartner für:

• Forensik
• Datenrettung
• Beratung und Wiederherstellung

Vertrauen Sie auf Erfahrung. Denn Daten sind mehr als nur Dateien.