Schutz vor Petya

Die Ransomware-Welle rollt

06.07.2017 von Florian Maier

Rund eineinhalb Monate nach WannaCry sorgt eine neue, erpresserische Cyberattacke für Aufruhr in der Unternehmenswelt. Wir sagen Ihnen, wer betroffen ist und wie Sie sich vor der neuerlichen Ransomware-Welle schützen können.

Der weltumspannende Ransomware-Angriff mit "WannaCry" zeigte Mitte Mai gnadenlos die IT-Schwachstellen einiger Unternehmen und Institutionen auf. Seit dem 27. Juni 2017 treibt nun eine neue Ransomware-Variante ihr Unwesen. Offensichtlich handelt es sich hierbei um eine Abwandlung der bereits seit längerem bekannten Malware "Petya". Diese nutzt scheinbar genau die gleiche Schwachstelle in Windows-Systemen wie WannaCry. Und als ob die Verantwortlichen in Unternehmen und Organisationen durch den Wannacry-Warnschuss nichts gelernt haben - wieder ist den Cyber-Gangstern gelungen, etliche Firmen und Behörden rund um den Globus lahm zu legen.

Nach "WannaCry" erfasst eine neue Ransomware-Welle die Unternehmenswelt.
Foto: Zacarias Pereira da Mata - shutterstock.com

Diese Firmen sind betroffen

Es gibt derzeit unterschiedliche Angaben zu den betroffenen Unternehmen und Institutionen. Folgende Großunternehmen sind nach aktuellem Stand von der neuen Petya-Ransomware betroffen:

Ein Angriffsschwerpunkt der Petya-Ransomware-Welle scheint in der Ukraine zu liegen. Dort sind das Innenministerium, ein staatlicher Energieversorger, zahlreiche Banken und ein Flughafen von der neuerlichen Ransomware-Welle betroffen. Auch in Russland kämpfen mehrere Finanzinstitute gegen die Malware-Infektion.

Für Julian Trotzek-Hallhuber, Solutions Architect beim Security-Provider Veracode, verdeutlicht die neue Angriffswelle ein Problem im Unternehmensumfeld: "Das zeigt sehr deutlich, unter welchem Druck IT-Abteilungen heute jeden Tag stehen. Das gilt besonders auch für große Industrieunternehmen wie das Logistikunternehmen Maersk und die Öl-Firma Rosneft, die aktuell von Peyta betroffen sind. Gerade für solche Unternehmen ist es häufig schwierig, alle ihre Geräte zu patchen, denn viele der verwendeten Systeme können sich absolut keinen Stillstand erlauben. Ähnlich komplex ist das Patchen für kritische Infrastrukturen wie beispielsweise Flughäfen."

Petya-Lösegeld bezahlen?

Das von den Erpressern geforderte Lösegeld sollten Unternehmen in keinem Fall bezahlen. Auch deshalb, weil die E-Mail-Adresse, die die Hacker für die Zahlungsvorgänge nutzen wollten, wurde inzwischen vom Hoster Posteo gesperrt.

Derzeit besteht für Betroffene also keinerlei Möglichkeit, mit den Ransomware-Autoren in Kontakt zu treten, beziehungsweise einen Entschlüsselungs-Key für ihre Daten zu erhalten. Nach Erkenntnissen von F-Secure hält auch ein Herunterfahren der Systeme bei Auftauchen des CHKDSK-Screens eine Petya-Infektion nicht auf:

Was ist das Ziel der Hacker?

Der Sicherheitsanbieter Bitdefender geht inzwischen davon aus, dass die Angreifer mit der Petya-Ransomware keine monetären Ziele verfolgen, sondern ausschließlich die Zerstörung von Daten zum Ziel haben: "Dieser Angriff begann in der Ukraine und nutzte einen ganz gewöhnlichen E-Mail-Dienstleister ohne besonderen Schutz als Kommunikationskanal. Dies wäre eine schlechte Wahl für eine Organisation, die versucht, den finanziellen Gewinn zu maximieren", meint Sicherheitsforscher Bogdan Botezatu. "Aber der Schaden in Unternehmen auf der ganzen Welt ist gegeben. Normalerweise haben Ransomware-Kampagnen, die erhebliche Gewinne generieren wollen, einen hohen Grad an Automatisierung, der den Zahlungsprozess einfach und sicher macht, fast auf dem Niveau von professionellem Online-Banking. Im aktuellen Fall besteht ein totales Durcheinander in Bezug auf Nutzbarkeit."

Auch bei IBM Security glaubt man nach einer näheren Analyse der Petya-Ransomware-Attacke nicht an eine finanzielle Motivation. Demnach handle es sich trotz der globalen Ausmaße um eine gezielte Attacke auf die Ukraine, die die Zerstörung von Daten zum Ziel hat. Sowohl das erste infizierte System (das sich in der Ukraine befindet), als auch die Nutzung der M.E.Doc Software und die Infektion bestimmter Webseiten führt IBM Security als Belege für einen gezielten Hackerangriff auf die Ukraine an. Zwar weise die technische Ausführung der Attacke darauf hin, dass es sich bei den Angreifern um eine Gruppe professioneller Cyberkrimineller handle, die Ransomware-Komponente sei allerdings weder professionell ausgestaltet, noch auf finanziellen Profit ausgelegt - eine Entschlüsselung der Daten nach Lösegeldzahlung gar nicht erst vorgesehen gewesen.

So läuft eine Petya-Infektion ab

Die Security-Branche analysiert derzeit fieberhaft die technischen Details, wie die Petya-Kampagne ausgeführt wurde und welche Angriffsvektoren die Hacker verwendet haben. Sicher ist bislang lediglich, dass auch die Abwandlung der Petya-Ransomware die Windows-SMB-Schwachstelle ("EternalBlue") nutzt, die zur rasanten Verbreitung der WannaCry-Ransomware führte. Daneben nutzt die Ransomware auch eine weitere, von der NSA entdeckte Windows-Sicherheitslücke namens "EternalRomance". Die IT-Sicherheitsspezialisten von F-Secure warnen allerdings bereits, dass die Auswirkungen für Unternehmen im Fall von Petya deutlich gravierender sein könnten. Folgendes Video zeigt Ihnen, wie eine Infektion mit Petya für gewöhnlich abläuft:

Petya unterscheidet sich im Wesentlichen dadurch von "gewöhnlicher" Ransomware, dass sie nicht nur einzelne Dateien, sondern die komplette Festplatte verschlüsselt - das System ist also nach einer Infektion nicht mehr nutzbar.

Ein "Kill Switch", der im Fall von "WannaCry" die Ausbreitung verhindern konnte, wird es für die aktuelle Petya-Welle nach Einschätzung von F-Secure Sicherheitsforscher Sean Sullivan nicht geben.

Beim Security-Anbieter FireEye hat man die Petya-Abwandlung ebenfalls bereits genauer unter die Lupe genommen und auch einen Angriffsvektor ausgemacht. Demnach soll es sich dabei um die - besonders in der Ukraine weit verbreitete - Buchhaltungssoftware M.E.Doc handeln. Weitere Angriffsvektoren schließen die Experten jedoch nicht aus. Die eingesetzte Ransomware nutzt laut FireEye teilweise dieselben Techniken wie Petya - etwa beim Überschreiben des Master Boot Record.

Ransomware vorbeugen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits eine Pressemeldung herausgegeben, die sich mit der aktuellen Petya-Ransomware-Welle befasst. Betroffene Unternehmen können sich per E-Mail direkt an die Meldestelle des BSI wenden.

BSI-Präsident Arne Schönbohm lässt in seinem Statement keinen Zweifel daran, dass Firmen und Organisationen unter Zugzwang stehen: "Angesichts der akuten Bedrohungslage rufen wir die Wirtschaft erneut dazu auf, die Risiken der Digitalisierung ernst zu nehmen und notwendige Investitionen in die IT-Sicherheit nicht aufzuschieben."

Sicherheitsanbieter Avast hat unterdessen in einer internen Analyse herausgefunden, dass derzeit weltweit 38 Millionen Systeme online sind, auf denen die SMB-Schwachstelle weiterhin zu Cyber-Attacken einlädt.

Eine einfache Lösung, um sich vor erpresserischer Malware zu schützen, gibt es nicht, wie Ralf Sydekum von F5 Networks klarstellt: "Es gibt keine einfache Lösung, mit Ransomware umzugehen. Mit dem Eintritt in die neue Welt des Internet of Things (IoT) und der auf Anwendungsebene vernetzten Geräte vergrößert sich die Angriffsfläche ständig und Attacken nehmen zu. Angreifer haben jetzt mehr Möglichkeiten, Daten zu infiltrieren. Deshalb sollte der Fokus stärker auf die Anwendungs- und Datensicherheit gelegt werden. Zudem sollte Cyber-Sicherheit ein integraler Bestandteil unseres täglichen Lebens werden."

Auch Ross Brewer, Vice President bei LogRhythm, rät Unternehmen und Institutionen, die Augen nicht länger vor der Realität zu verschließen: "Diese Folge-Attacke macht nun mehr als deutlich, wie real die Gefahr entsprechender Angriffe ist - und man darf durchaus annehmen, dass das Schlimmste wohl erst noch kommt. Wie schon bei WannaCry sollten Organisationen den Ausbruch als klare und frühe Warnung betrachten, ihre Sicherheitsmaßnahmen zu verstärken und professionell aufzusetzen. Gute Vorbereitung ist der Schlüssel dazu, solche Angriffe zu überstehen."

Petya-Razzia in der Ukraine

Die Cybereinheit der ukrainischen Polizei hat am 5. Juli nach eigener Aussage die weitere Ausbreitung von Petya verhindert. Im Rahmen einer Razzia haben die Behörden Computer und Software beim Entwickler der Steuersoftware M.E.Doc beschlagnahmt. Das geschah, nachdem offensichtlich neue Anzeichen für böswillige Cyberaktivitäten aufgetaucht waren. Das beschlagnahmte Material wird nun von der Polizei untersucht. Die Behörden haben ein Video der Cyber-Razzia auf YouTube veröffentlicht:

Die ukrainischen Behörden glauben inzwischen, dass die Attacke mit Petya nur ein Ablenkungsmanöver war. Eine Theorie der Ermittler fußt dabei auf der Annahme, die Malware sei von staatlichen Akteuren mit dem Ziel geschaffen worden, die Ukraine zu destabilisieren. Die Behörden empfehlen jeder Organisation, in der die M.E.Doc-Software zum Einsatz kommt, die Nutzung sofort einzustellen und betroffene Rechner vom Netzwerk zu nehmen.

Die größten Hacks 2016

US-Demokraten
Im Rahmen eines großangelegten Datendiebstahls werden E-Mails aus dem Democratic National Commitee (DNC) veröffentlicht. Das sorgt nicht nur dafür, dass sich viele US-Amerikaner von der Demokratischen Partei – und ihrer Kandidatin Hillary Clinton – lossagen: Es beweist in den Augen vieler Menschen auch, dass Russland die US-Wahl zu Gunsten von Donald Trump beeinflusst.

Dyn
Eine massive DDoS-Attacke auf den DNS-Provider Dyn sorgt im Oktober für Wirbel: Mit Hilfe eines Botnetzes – bestehend aus tausenden unzureichend gesicherten IoT-Devices – gelingt es Cyberkriminellen, gleich drei Data Center von Dyn lahmzulegen. Amazon, GitHub, Twitter, die New York Times und einige weitere, große Websites sind über Stunden nicht erreichbar.

Panama Papers
Schon aufgrund der schieren Anzahl an gestohlenen Datensätzen, ist der Cyberangriff auf den panamischen Rechtsdienstleister Mossack Fonseca einer der größten Hacks des Jahres: 2,6 Terabyte an brisanten Daten werden dem Unternehmen gestohlen. Mit weitreichenden Folgen, denn die Dokumente decken auf, mit welchen Methoden mehr als 70 Politiker und Vorstände aus aller Welt Steuern mit Hilfe von Offshore-Firmen "sparen".

Yahoo
Erst im September musste Yahoo den größten Hack aller Zeiten eingestehen. Nun verdichten sich die Anzeichen, dass dieselben Hacker sich bereits ein Jahr zuvor deutlich übertroffen hatten: Bei einem Cyberangriff im August 2013 wurden demnach die Konten von knapp einer Milliarde Yahoo-Usern kompromittiert. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter abgegriffen.

NSA
Eine Hackergruppe namens "Shadow Brokers" sorgt im Oktober für Aufsehen, indem sie versucht, Hacking-Tools auf der Blog-Plattform tumblr zu versteigern. Das Besondere daran: Das Toolset wollen die Cyberkriminellen zuvor von der berüchtigten Hackergruppe "Equation Group" gestohlen haben. Und es wird noch besser: Während die "Equation Group" immer wieder mit der National Security Agency in Verbindung gebracht wird, besteht der Verdacht, die "Shadow Brokers" hätten ihrerseits Connections nach Russland.

Bitfinex
Die Bitcoin-Trading-Plattform Bitfinex wird Anfang August 2016 um knapp 120.000 Bitcoins (ca. 89,1 Millionen Euro) erleichtert. Der Hackerangriff hebelt die mehrfach abgesicherte Authentifizierungs-Architektur des Unternehmens, die bis dahin als sicher gilt, schlicht aus. Zwar ist dieser Bitcoin-Hack "nur" der drittgrößte in der IT-Geschichte, allerdings stellt Bitfinex eine der größten Trading-Plattformen in diesem Segment dar. Das Unternehmen verteilt den Verlust übrigens "gleichmäßig" auf seine Kunden: 36 Prozent jedes einzelnen Kontos sind futsch.

Healthcare-Ransomware
Zugegeben: In diesem Fall handelt es sich nicht um einen großen Hack, sondern viele. Sehr viele. Insbesondere die Healthcare-Branche wird 2016 von immer populärer werdenden Ransomware-Kampagnen erschüttert, die sämtliche Dateien auf einem Rechner verschlüsseln und nur gegen die Zahlung eines Lösegelds wieder freigeben (oder auch nicht). Daraus lässt sich einerseits ablesen, wie lukrativ das Geschäft mit der Erpressungs-Malware ist, andererseits, wie weit kriminelle Hacker bereit sind zu gehen, wenn es um ihre monetären Interessen geht.

Mit Material von IDG News Service.