Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Petya: Was bislang bekannt ist

Im Laufe des 27. Juni wurden erste Angriffe mit einer neuen Variante der bekannten Petya-Malware gemeldet, die sich über das SMB-Protokoll von Microsoft Windows verbreitet. Die Malware scheint den Exploit-Tool EternalBlue zu nutzen. Dies ist zugleich der Exploit, der bei der weltweiten Ransomware-Attacke „WannaCry“ von Kriminellen genutzt wurde. Seither haben mehrere, auch weltbekannte Unternehmen, Regierungsstellen und Organisationen sowie Betreiber kritischer Infrastrukturen den Ausfall von Systemen gemeldet.

Petya ist eine Ransomware-Familie, die den Master Boot Record (MBR) von Windows Systeme modifiziert und somit einen Systemcrash verursacht. Wenn die Nutzer dann die Systeme neustarten, sorgt der modifizierte MBR dafür, das Windows nicht mehr bootet, sondern dass stattdessen auf dem Monitor das „Erpresserschreiben“ der Cyberkriminellen angezeigt wird, die ein Lösegeld für das gehackte System und dessen verschlüsselte Daten fordern.

In die Hände fiel den Angreifern dieses Werkzeug durch die Veröffentlichungen der Shadow Broker-Gruppe im April 2017, die bis dato geheime „Cyberwaffen“ der US-Geheimdienste an die Öffentlichkeit brachte.

Nachdem das System befallen wurde, warden die Opfer aufgefordert Bitcoins im Wert von 300 Dollar an eine spezifische Bitcoin-Adresse zu senden und dann die Bestätigung via E-Mail an wowsmith123456@posteo[.]net zu schicken, wo sie dann angeblich den Schlüssel für die Wiederherstellung des Systems beziehungsweise die Entschlüsselung der Daten erhalten Bisher haben schon mehrere Opfer den geforderten Betrag überwiesen.

Im Gegensatz zu vielen anderen Malware-Attacken scheint Petya keinen Command & Control-Mechanismus zu enthalten. Sobald ein Host infiziert ist, wird also keine Kommunikationen zu einem Server des Angreifers hergestellt.

Auch wenn Ransomware-Angriffe mittlerweile recht häufig auftreten, so ist die vorliegende Form, in der Ransomware mit einem Exploit kombiniert wird, der die Malware in die Lage versetzt sich wie ein Wurm im Netzwerk zu verbreiten, sehr selten. Die weltweit erfolgreiche WannaCry-Attacke zeigte, dass es noch extrem viele Systeme gibt, die nicht gepatcht wurden oder auch nicht gepatcht werden konnten, um diese Schwachstelle zu schließen. Die rasante Verbreitung von Petya zeigt nun, dass trotz des Warnschusses durch WannaCry noch immer sehr viele Systeme über diese Schwachstelle erfolgreich angegriffen werden können.

Der US-amerikanische Sicherheitsanbieter Palo Alto Networks rät den Nutzern von Windows-Systemen daher unbedingt zu folgenden Schritten, um sich zu schützen:

  • Installation der Security Updates MS17-010
  • Eingehende Verbindungen über den TCP-Port 445 blockieren
  • Aktuelle Backups anlegen und diese vor dem Zugriff der Angreifer schützen

Phil Richards, Chief Information Security Officer des in Salt Lake City ansässigen Unternehmens Ivanti fasst die Geschehnisse der letzten Stunden wie folgt zusammen:

„Seit dem 26. Juni 2017 greift eine neue Ransomware weltweit globale Computersysteme an. Die Ransomware, genannt Petwrap, basiert auf einer älteren Petya-Variante, die im Dezember 2016 aus der GoldenEye-Malware hervorgegangen ist. Die neue Ransomware-Variante umfasst auch die SMB-Exploit EternalBlue, die von der US-amerikanischen NSA (National Security Administration) erstellt und im April 2017 von der Hackergruppe Shadowbrokers veröffentlicht wurde. Die Malware war offenbar gezielt auf Infrastruktur in der Ukraine gerichtet, wie Behörden, Energieversorger, Banken, Geldautomaten, staatliche Fernsehsender, Postdienste, Flughäfen und Flugzeughersteller. Seit der ersten Infektion hat sie sich auf andere Märkte und über die Grenzen der Ukraine hinaus ausgebreitet. Die eigentliche Malware ist Ransomware und fordert ein Lösegeld in Höhe von 300 US-Dollar pro befallenem Rechner in Bitcoins. Die Petya-Komponente enthält zahlreiche Funktionen, damit die Malware auf infizierten Systemen lebensfähig bleiben kann, einschließlich eines Angriffs auf den Master Boot Record. Die EternalBlue-Komponente wiederum ermöglicht ihr, sich in einer Organisation zu verbreiten, die nicht über die richtigen Patches oder eine Antiviren-/Antimalware-Software verfügt. Es ist ein eindrucksvolles Beispiel für zwei Malware-Komponenten, die gemeinsam noch schädlichere und widerstandsfähigere Malware erzeugen.“