Angriffswelle mit Petya – Zerstörung zum Zweck?

Rückkehr von Petya? Weltweite Ransomware-Attacke legt Rechner lahm

Schwerpunkte der Angriffswelle: Russland und Ukraine

Gerade einmal zwei Monate nach der globalen WannaCry-Attacke meldet sich mit Petya eine alte Bekannte zurück: Die Erpressersoftware wütet seit Dienstag Morgen auf Rechner von Unternehmen und Behörden weltweit. Betroffen von der Angriffswelle mit Petya sind unter anderem das US-Pharmaunternehmen Merck, der Nahrungsmittelkonzern Mondelez, die Reederei Maersk, die Anwaltskanzlei DLA Piper, der Medienkonzern WPP und der Industriekonzern Saint Gobain. Auch vor den Computern des 1986 havarierten Kernkraftwerks Tschernobyl macht die Erpressersoftware offenbar nicht halt: Die Betreiberfirma schaltet die Windows-Systeme vorläufig ab und kontrolliert die Radioaktivität manuell.

Ganz konkret handelt es sich um eine Abwandlung von Petya, die die gleiche Windows-Schwachstelle (MS17-010) ausnutzt, wie zuvor schon WannaCry. Im Mai hatte diese Ransomware binnen zweier Tage Computer weltweit lahmgelegt. Unternehmen, darunter die Deutsche Bahn, die Netzbetreiber Telefónica und Telecom, der Logistikriese FedEx, sowie die Autobauer Nissan und Renault, waren betroffen.

Chronik der neuen Angriffswelle mit Petya

Der erste erfolgreiche Angriff traf Dienstag Morgen Behörden und Unternehmen in Russland und der Ukraine. Die Meldungen kamen da fast im Minutentakt: In Russland melden die Ölfirmen Rosneft und Bashneft massive digitale Angriffe und auch die Unternehmen Mars sowie Nivea sind in Russland von Cyberattacken betroffen.

Angriffswelle mit Petya Zeitgleich kommen beunruhigende Nachrichten aus der Ukraine: Die staatliche Telefongesellschaft Ukrtelekom, die Nationalbank sowie drei weitere Banken, die Energieversorger Kiewenergo und Ukrenergo, der Medienkonzern „TRK“ sowie die Ableger von Deutscher Post und Metro in der Ukraine melden Ransomware-Angriffe. Das Netzwerk der Regierung ist offline und es kommt zu spürbaren Beeinträchtigungen am Flughafen von Kiew aufgrund von Systemausfällen.

Im Laufe des Nachmittags gesellen sich auch aus Spanien, Großbritannien und Dänemark Berichte von Infektionen dazu: Die Computersysteme sowohl der in Madrid ansässigen, weltweit tätigen Anwaltskanzlei DLA Piper, als auch der britischen Werbeagentur WPP seien attackiert worden. Die dänische Reederei Maersk erklärt, ihre IT-Systeme seien durch die Angriffswelle mit Petya an mehreren Standorten lahmgelegt.

In der Hamburger Konzernzentrale des deutschen Beiersdorf-Konzern geht seit Dienstagnachmittag ebenfalls nichts mehr. Alle Computer sowie die Telefonanlage seien ausgefallen und viele Mitarbeiter seien deswegen frühzeitig nach Hause gegangen.

Gleiche Sicherheitslücke wie WannaCry ausgenutzt

Angriffswelle mit Petya Fest steht inzwischen auch, dass die Malware die selbe Sicherheitslücke nutzt wie unlängst schon WannaCry: und zwar Eternal Blue. Diese Schwachstelle war eigentlich nur dem amerikanischen Geheimdienst NSA bekannt – zumindest bis der gehackt wurde und die Angreifer verrieten, wie die Lücke ausgenutzt werden kann. Zudem verwendet die neue Petya-Version Windows-Funktionen, um sich auch über den infizierten Rechner hinaus im Netzwerk zu verbreiten.

Inzwischen hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt, dass es sich um eine neue Variante von Petya handelt, die auf die vom WannaCry-Angriff bekannte Lücke zum Einfall in ein Netzwerk setze: „In internen Netzen benutzt Petya zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung und kann damit auch Systeme befallen, die auf aktuellem Patchstand sind.“

Petya verschlüsselt und manipuliert

Petya hatte im März 2016 schon einmal seinen großen Auftritt: Im Unterschied zu anderen Krypto-Trojanern verschlüsselt Petya nicht „nur“ bestimmte Dateien, sondern manipuliert auch den Boot-Bereich der primären Festplatte. Somit kann das Betriebssystem nicht gestartet werden. Stattdessen erscheint eine Nachricht, in der ein Lösegeld verlangt wird.

In der aktuellen Lösegeldforderung fordern die Erpresser ihre Opfer auf, 300 US-Dollar in Bitcoins an eine bestimmte Wallet zu schicken. Anschließend soll das Opfer eine E-Mail schreiben, um den Schlüssel zur Rettung der Daten zu erhalten. Das haben offenbar schon etliche Betroffene getan: Tausende Euros sind an die Erpresser geflossen. Ob im Gegenzug tatsächlich Daten wieder freigegeben wurden, ist uns nicht bekannt.

Ging es um´s Geld oder darum Chaos zu stiften?

Angriffswelle mit Petya Während der Verbreitungsweg noch ermittelt wird – nach Informationen von LANline sei ein gefälschtes Update für die Buchhaltungssoftware des kompromittierten ukrainischen Softwarehauses MeDoc als initialen Angriffsvektor ausgemacht – verweisen diverse Sicherheitsexperten darauf, dass die Malware ein sehr schlechter Erpressungstrojaner sei.

Als Beweis führen sie den auffallend komplizierten Bezahlvorgang an, für den eine E-Mail Adresse notwendig war. Inzwischen hat der deutsche E-Mail-Provider Posteo diese gesperrt. Damit können die Erpresser nun nicht mehr auf ihr Postfach zugreifen oder E-Mails versenden. Auch die Opfer können das Postfach nun nicht mehr kontaktieren, um Informationen zur Rettung ihrer Daten zu erhalten. Während bei einem typischen Ransomware-Angriff zudem pro Opfer eine Adresse genannt wird, auf die Bitcoins überwiesen werden sollen, sollen im aktuellen Fall aber mehrere Opfer Geld auf ein- und dieselbe Adresse überweisen. Das macht es den Tätern unnötig schwer, an das erpresste Geld heranzukommen.

Offenbar geht es den Machern der Software nicht darum, schnell viel Geld zu machen. Die Vermutung liegt nahe, dass die Angriffswelle mit Petya möglichst viel Chaos erzeugen wollen. So zitiert der Sicherheitsforscher Brian Krebs seinen Kollegen Nicholas Weaver, dass es sich dessen Einschätzung nach wohl um einen „absichtlichen, bösartigen und destruktiven Angriff“ handelte oder vielleicht um einen als Erpressungstrojaner getarnten Test. Verschiedene Sicherheitsfirmen gehen aktuell davon aus, dass es sich nicht um einen Wiper handelt.

Auffällig ist aber Eines: Die neue Angriffswelle zielt verstärkt auf Bereiche wie das Gesundheitswesen, öffentliche Verwaltung, Post- und Transportdienste. Damit werden nicht mehr nur Unternehmen empfindlich in der Ausführung ihrer Geschäftstätigkeit behindert – beispielsweise durch die prompte Stilllegung von Produktionen – sondern Menschen aller gesellschaftlichen Schichten in ihren täglichen Aktivitäten beeinflusst.

Patchen Sie umgehend!

Alles deutet darauf hin, dass die neue Ransomware einen ähnlichen Angriffsvektor wie WannaCry nutzt. Wenn Sie nicht längst schon gepatcht haben, dann spielen Sie bitte umgehend alle Updates auf Ihre Windows-Rechner auf. Der Patch ist seit Anfang März verfügbar, Microsoft hat für die älteren Versionen Windows XP und Vista die Patches sogar nachgeliefert. Downloadmöglichkeiten der Microsoft Patches finden Sie auf der Produktseite von Microsoft.
Zwar können wir zur Stunde auch noch nicht sagen, ob das als Schutzmaßnahme ausreicht, da die genauen Verbreitungswege der Malware noch nicht bekannt sind. Stellen Sie deshalb zusätzlich sicher, dass Backups in Ihrem Unternehmen zum Einsatz kommen.

Schützen Sie sich vor Ransomware!

LesetippIn unserem eBook „Schluss mit Cyberattacken“ geben wir Ihnen noch mehr Praxistipps und informieren Sie auch über Hintergründe und die Anatomie von Cyberattacken. Was Sie sonst noch gegen Krypto-Trojaner tun können, haben wir in unserem kostenlosen Ratgeber zusammengestellt.

Am Freitag, 30. Juni, 10:00-10:30 Uhr und Dienstag, 04. Juli, 10:00-10:30 Uhr bieten wir ein Krypto-Trojaner Webinar an, für das Sie sich gerne noch anmelden können.

geschrieben von: Robert Becker

Robert Becker

Robert Becker ist bei GBS als Product Manager Security & Collaboration tätig. Hier verantwortet er die Verbindung der Produktwelten und ist gleichzeitig Schnittstelle zwischen Produktmanagement, Sales und Marketing.

Abonnieren Sie den GBS Newsletter und erhalten Sie neue Artikel sofort in Ihre Mailbox!

Posted in:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.