Nachrichten

Erneute Angriffswelle, anscheinend nur regional

Petya ist NotPetya und ein reiner Zerstörer

Internet | HT4U.net
Schlechte Nachrichten für die Opfer der aktuellen Trojanerwelle: Der zunächst als Kryptotrojaner Petya erkannte Schädling hat sich inzwischen als eine Weiterentwicklung entpuppt, die gar nicht auf Erpressung aus ist. Stattdessen geht es NotPetya um die Zerstörung von Daten und somit den größtmöglichen Schaden. Das eigentliche Ziel von NotPetya ist die Ukraine.

Die erste Variante von Petya war im März 2016 aufgetaucht und sollte tatsächlich Lösegeld von den Opfern erpressen. Auch NotPetya behauptet, die Daten verschlüsselt zu haben, und verlangt die Zahlung von 300 US-Dollar in Bitcoins an eine E-Mail-Adresse beim Anbieter Posteo. Posteo hat das fragliche Benutzerkonto inzwischen gesperrt, so dass kein Geld mehr fließen kann. Und das ist auch gut so, denn die Sicherheitsexperten von Kaspersky haben festgestellt, dass es den Entwicklern von NotPetya einzig und alleine um Zerstörung geht: Eine Wiederherstellung der Daten ist weder vorgesehen noch möglich!

Normalerweise generieren Verschlüsselungstrojaner eine eindeutige Kennung (ID), mit der sich dem Rechner des Opfers der passende Schlüssel zuordnen lässt. Im Code von NotPetya fand Kaspersky jedoch nur eine rein zufällige ID, für die die Erpresser selbst dann keinen Schlüssel liefern könnten, wenn sie es tatsächlich wollten. Matt Suiche von Comae Technologies hat unabhängig von Kaspersky die gleiche Schlussfolgerung gezogen. Suiche entdeckte zudem, dass NotPetya Teile des Master Boot Record (MBR) überschreibt, ohne diese vorher zu sichern. Auch das untermauert den Verdacht, dass eine Wiederherstellung der Daten nie vorgesehen war.

Kaspersky hat auch den Infektionsweg von NotPetya analysiert. Wie schon früh vermutet wurde, nutzt NotPetya das EternalBlue-Exploit, über das sich auch WannaCry verbreitet hatte, sowie das EternalRomance-Exploit. Beide hatte Microsoft mit seinem Sicherheits-Update MS17-010 geschlossen. Da die meisten Firmen diesen Patch bereits eingespielt hatten, war ein weiteres Einfallstor dominierend: die ukrainische Buchhaltungs-Software MeDoc. Offenbar ist es den Entwicklern von NotPetya gelungen, den Update-Mechanismus von MeDoc auszunutzen. Hat NotPetya erst einmal einen Rechner gekapert, missbraucht der Schädling auch Netzwerkprogramme wie die Windows Management Instrumentation (WMI) und PSEXEC für seine Ausbreitung.

Der Angriffsvektor MeDoc unterstreicht, dass die Ukraine das eigentliche Ziel von NotPetya war. Diese Software wird von Firmen benötigt, um in der Ukraine ihre Steuern zu bezahlen. Es ist also nicht verwunderlich, dass viele ukrainische Unternehmen, Banken, Flughäfen und Behörden befallen wurden, darunter auch die Atomruine von Tschernobyl. Maersk, die weltgrößte Container-Reederei, der deutsche Konsumgüterkonzern Beiersdorf AG und das russische Mineralölunternehmen Rosneft dürften sich über ihre Niederlassungen in der Ukraine infiziert haben. Auch FedEx und seine niederländische Tochter TNT Express, eine Schokoladenfabrik von Cadbury in Australien und die französische Bank BNP Paribas gehören zu den Opfern.

NotPetya unterstreicht einmal mehr, wie verwundbar weltweit vernetzte IT-Infrastrukturen sind. Man muss sich die Frage stellen, warum die einzelnen Unternehmensteile nicht besser voneinander entkoppelt werden bzw. warum sich Produktionsanlagen überhaupt – sei es direkt oder indirekt – über das Internet erreichen lassen. Hinsichtlich der Sicherheitsarchitektur besteht in vielen Firmen und Behörden auch im Jahr 2017 noch ein erheblicher Nachholbedarf.

Autor: mid
[]