Schutz vor Petya

Die Ransomware-Welle rollt

Florian beschäftigt sich mit dem Themenbereich IT-Security und schreibt über reichweitenstarke und populäre IT-Themen an der Schnittstelle zu B2C. Daneben ist er für den Facebook- und LinkedIn-Auftritt der COMPUTERWOCHE zuständig.
Rund eineinhalb Monate nach WannaCry sorgt eine neue, erpresserische Cyberattacke für Aufruhr in der Unternehmenswelt. Wir sagen Ihnen, wer betroffen ist und wie Sie sich vor der neuerlichen Ransomware-Welle schützen können.

Der weltumspannende Ransomware-Angriff mit "WannaCry" zeigte Mitte Mai gnadenlos die IT-Schwachstellen einiger Unternehmen und Institutionen auf. Seit dem 27. Juni 2017 treibt nun eine neue Ransomware-Variante ihr Unwesen. Offensichtlich handelt es sich hierbei um eine Abwandlung der bereits seit längerem bekannten Malware "Petya". Diese nutzt scheinbar genau die gleiche Schwachstelle in Windows-Systemen wie WannaCry. Und als ob die Verantwortlichen in Unternehmen und Organisationen durch den Wannacry-Warnschuss nichts gelernt haben - wieder ist den Cyber-Gangstern gelungen, etliche Firmen und Behörden rund um den Globus lahm zu legen.

Nach "WannaCry" erfasst eine neue Ransomware-Welle die Unternehmenswelt.
Nach "WannaCry" erfasst eine neue Ransomware-Welle die Unternehmenswelt.
Foto: Zacarias Pereira da Mata - shutterstock.com

Diese Firmen sind betroffen

Es gibt derzeit unterschiedliche Angaben zu den betroffenen Unternehmen und Institutionen. Folgende Großunternehmen sind nach aktuellem Stand von der neuen Petya-Ransomware betroffen:

Ein Angriffsschwerpunkt der Petya-Ransomware-Welle scheint in der Ukraine zu liegen. Dort sind das Innenministerium, ein staatlicher Energieversorger, zahlreiche Banken und ein Flughafen von der neuerlichen Ransomware-Welle betroffen. Auch in Russland kämpfen mehrere Finanzinstitute gegen die Malware-Infektion.

Für Julian Trotzek-Hallhuber, Solutions Architect beim Security-Provider Veracode, verdeutlicht die neue Angriffswelle ein Problem im Unternehmensumfeld: "Das zeigt sehr deutlich, unter welchem Druck IT-Abteilungen heute jeden Tag stehen. Das gilt besonders auch für große Industrieunternehmen wie das Logistikunternehmen Maersk und die Öl-Firma Rosneft, die aktuell von Peyta betroffen sind. Gerade für solche Unternehmen ist es häufig schwierig, alle ihre Geräte zu patchen, denn viele der verwendeten Systeme können sich absolut keinen Stillstand erlauben. Ähnlich komplex ist das Patchen für kritische Infrastrukturen wie beispielsweise Flughäfen."

Petya-Lösegeld bezahlen?

Das von den Erpressern geforderte Lösegeld sollten Unternehmen in keinem Fall bezahlen. Auch deshalb, weil die E-Mail-Adresse, die die Hacker für die Zahlungsvorgänge nutzen wollten, wurde inzwischen vom Hoster Posteo gesperrt.

Derzeit besteht für Betroffene also keinerlei Möglichkeit, mit den Ransomware-Autoren in Kontakt zu treten, beziehungsweise einen Entschlüsselungs-Key für ihre Daten zu erhalten. Nach Erkenntnissen von F-Secure hält auch ein Herunterfahren der Systeme bei Auftauchen des CHKDSK-Screens eine Petya-Infektion nicht auf:

Was ist das Ziel der Hacker?

Der Sicherheitsanbieter Bitdefender geht inzwischen davon aus, dass die Angreifer mit der Petya-Ransomware keine monetären Ziele verfolgen, sondern ausschließlich die Zerstörung von Daten zum Ziel haben: "Dieser Angriff begann in der Ukraine und nutzte einen ganz gewöhnlichen E-Mail-Dienstleister ohne besonderen Schutz als Kommunikationskanal. Dies wäre eine schlechte Wahl für eine Organisation, die versucht, den finanziellen Gewinn zu maximieren", meint Sicherheitsforscher Bogdan Botezatu. "Aber der Schaden in Unternehmen auf der ganzen Welt ist gegeben. Normalerweise haben Ransomware-Kampagnen, die erhebliche Gewinne generieren wollen, einen hohen Grad an Automatisierung, der den Zahlungsprozess einfach und sicher macht, fast auf dem Niveau von professionellem Online-Banking. Im aktuellen Fall besteht ein totales Durcheinander in Bezug auf Nutzbarkeit."

Auch bei IBM Security glaubt man nach einer näheren Analyse der Petya-Ransomware-Attacke nicht an eine finanzielle Motivation. Demnach handle es sich trotz der globalen Ausmaße um eine gezielte Attacke auf die Ukraine, die die Zerstörung von Daten zum Ziel hat. Sowohl das erste infizierte System (das sich in der Ukraine befindet), als auch die Nutzung der M.E.Doc Software und die Infektion bestimmter Webseiten führt IBM Security als Belege für einen gezielten Hackerangriff auf die Ukraine an. Zwar weise die technische Ausführung der Attacke darauf hin, dass es sich bei den Angreifern um eine Gruppe professioneller Cyberkrimineller handle, die Ransomware-Komponente sei allerdings weder professionell ausgestaltet, noch auf finanziellen Profit ausgelegt - eine Entschlüsselung der Daten nach Lösegeldzahlung gar nicht erst vorgesehen gewesen.

Inhalt dieses Artikels