Wannacry II
Nur eineinhalb Monate nach dem Wannycryangriff hat Ende Juni wieder ein Verschlüsselungstrojaner zugeschlagen. Die neue Erpressersoftware verbreitete sich in Russland, der Ukraine, Deutschland, den USA und weiteren Ländern.
SCHON WIEDER HINTERLÄSST eine Erpressersoftware eine Spur der Verwüstung. Dieses Mal ist es nicht wie Mitte Mai Wannacry, sondern vermutlich Petya alias Petrwrap/petya. Dieses Erpresserprogramm ist seit Frühjahr 2016 bekannt. Die ersten Meldungen über funktionsunfähige Windows-rechner stammten aus der Ukraine und aus Russland, danach häuften sich jedoch auch Schadensmeldungen aus dem restlichen Europa.
Das Sicherheitsunternehmen Avira berichtet, dass Petya eine Smb-netzwerklücke in Windows ausnutzt, um in fremde Rechner einzudringen. Damit bediene sich Petya unter anderem der gleichen Sicherheitslücke, die schon Wannacry für seine Verbreitung nutzte, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) erklärt. Aktuelle Windowssysteme mit allen aufgespielten Patches sollten deshalb sicher sein.
Das russische Sicherheitsunternehmen Kaspersky kommt dagegen zu einer ganz anderen Analyse: „Unsere vorläufigen Ergebnisse legen nahe, dass es sich hierbei nicht um eine Variante der Petya-ransomware handelt, wie derzeit öffentlich berichtet wird, sondern um eine neue Ransomware, die bisher noch nicht aufgetaucht ist. Daher nennen wir den Schädling ‚Notpetya‘. Die neue Malware unterscheidet sich unseren Analysten zufolge wesentlich von den bisher gekannten Petya-versionen“, so die Experten im Analyse-blog. Einig sind sich die Spezialisten, dass in Firmennetzwerken eine modifizierte Eternalblue-exploitlücke zur Verbreitung genutzt wird.
Experten: Komplexe Attacke über verschiedene Angriffsvektoren
Was die anfängliche Infektion angeht, zeichnete sich bei Redaktionsschluss zwei Tage nach dem Angriff folgendes Bild: Anders als sonst üblich wurde der Schadcode nicht über Phishingmails oder ein Exploitkit, sondern über ein Update der ukrainischen Steuersoftware Medoc verteilt. Diese ist in der Ukraine sehr verbreitet, was auch die starke Verbreitung im Land erklärt, darunter eben auch viele große dort tätige Unternehmen wie die dänische Reederei Maersk. Eine solche scheinbar gewöhnliche Programmaktualisierung wäre ein ganz neuer Infektionsweg, der auch in Zukunft viel Schaden anrichten könnte. Nicht beantwortet ist damit die Frage, wie die Hacker ihren Schadcode in das Update der Steuersoftware einschleusen konnten. In Frage kommt ein elektronischer Einbruch in die Softwarefirma beziehungsweise deren Updateserver, ein Man-in-the-middle-angriff oder eine Umleitung per DNS.
Wenn Petya/notpetya die Infektion gelingt, verschlüsselt die Erpressersoftware den gesamten Windows-pc und fordert den Nutzer dazu auf, zum Entsperren 300 Us-dollar in Bitcoins zu bezahlen. Generell warnen Experten jedoch davor, auf solche Geldforderungen einzugehen, zumal im konkreten Fall die hinterlegte Mailadresse vom Provider schnell gesperrt wurde und deshalb keinerlei Möglichkeit mehr bestand, mit den Erpressern Kontakt aufzunehmen. Weil diese Sperre zu erwarten war, stand ganz offenbar weniger das Geld im Vordergrund. Nahe liegt deshalb vielmehr ein politisch motivierter Angriff.
Den besten Schutz vor Schadcode aller Art bieten ein aktuelles Betriebssystem, bei dem alle Patches eingespielt sind, eine Sicherheitssuite mit Virenschutz – und in jedem Fall ein gehöriges Maß an Misstrauen: Klicken Sie nie auf unbekannte Mailanhänge, Weblinks oder Ähnliches. Bei Ransomware-befall schließlich hilft ein bereits vorhandenes Backup aller wichtigen Daten. Noch viel mehr Tipps gegen gefährliche Cyber-angriffe lesen Sie im ausführlichen Ratgeber auf Seite 26.