Petya ist nicht Petya und schlimmer als einfach Ransomware

"NotPetya" ist laut neuen Erkenntnissen eine als Ransomware getarnte Datenzerstörungssoftware.
 
Die Malware, die seit Dienstag vielen Unternehmen weltweit grosse Probleme verursacht, scheint eine Art Wolf im Schafspelz gewesen zu sein. Oder vielleicht besser gesagt, ein Löwe im Wolfspelz.
 
Anfänglich wurde die Malware von Security-Experten als Variante der seit Frühling 2016 bekannten Ransomware Petya kategorisiert. Mittlerweile wird aufgrund doch beträchtlicher Unterschiede von vielen nicht mehr als Petya-Variante angesehen. Darum sind auch neue Namen wie PetyaWrapper, ExPetr oder NotPetya kreiert worden.
 
Aufgrund weiterer Analysen kamen Security-Experten mittlerweile auch zum Schluss, dass es sich bei NotPeya – wir wählen diesen Namen, weil er am einprägsamsten erscheint – gar nicht um eine Ransomware handelt. Die Malware sei in Wahrheit ein "Wiper", nicht darauf aus, Daten zu verschlüsseln, sondern sie zu zerstören beziehungsweise permanent unzugänglich zu machen. Damit bestehe auch für die Opfer kaum Hoffnung, die Daten je wieder zurück zu bekommen, auch wenn sie sich für eine Lösegeldzahlung entscheiden würden.
 
Angreifer können nicht entschlüsseln
Petya war, um das mal so zu formulieren, eine "ehrliche" Ransomware. Die Malware bot den Hintermännern tatsächlich die Möglichkeit, aufgrund eines individuell generierten "Installationsschlüssels" einen Schlüssel zur Wiederherstellung der Daten zu rekonstruieren.
 
Bei NotPetya ist dies, wie Kaspersky Labs gestern berichtete, nicht der Fall. Auch NotPetya generiert einen Installationsschlüssel, und die Malware verlangt vom Opfer, diesen zusammen mit einem Bitcoin-Zahlungsnachweis per E-Mail an die Angreifer zu schicken. Dieser Schlüssel wird aber, so die Kaspersky-Experten, schlicht durch eine Zufallsfunktion erzeugt. Es sei also schlicht unmöglich für die Angreifer, daraus den individuellen Entschlüsselungscode zu errechnen.
 
Boot-Sektoren irreversibel zerstört
Auch Matt Suiche vom Security-Spezialisten Comae kommt zum Schluss, dass NotPetya ein Wiper und keine Ransomware sei. Allerdings aufgrund einer anderen Beobachtung. Wie Petya überschreibt auch NotPetya die ersten Sektoren einer Harddisk, so dass diese nicht mehr funktionieren. Während Petya allerdings die vorhandenen Daten zuerst verschlüsselt und sichert, ist der Vorgang bei NotPetya irreversibel.
 
Kaspersky zieht das Fazit, dass die Attacke offensichtlich keine finanziellen Motive hatte, sondern dass das Ziel Zerstörung war, hält sich aber mit weiteren Interpretationen zurück. Suiche geht in seiner Analyse weiter: Seiner Ansicht nach deutet alles auf einen Angriff einer von einem Staat unterstützten Hackergruppe hin. Die Tarnung als Ransomware habe den Zweck gehabt, die Berichterstattung in den Medien in die falsche Richtung zu lenken und vom wahren Hintergrund abzulenken. Obwohl sich der Angriff anfänglich auf die Ukraine konzentrierte, nimmt aber auch Suiche das Wort Russland nicht in den Mund. (Hans Jörg Maron)