Petya-Attacke oder "NotPetya": Erstes Angriffsziel offenbar in der Ukraine
Nachdem die aktuelle Cyberangriffswelle zuerst Opfer in der Ukraine und Russland fand, schält sich heraus, dass die Malware wohl von dort in den Rest der Welt schwappte. Ob es wirklich darum ging, viel Lösegeld zu scheffeln, scheint jetzt zweifelhaft.
Die massive Angriffswelle mit einem Verschlüsselungstrojaner, der an den Kryptotrojaner Petya erinnerte, nutzte offenbar eine Software aus der Ukraine. Das haben verschiedene Sicherheitsforscher ermittelt, die geschlossen das Programm MeDoc verdächtigen. Auch die ukrainische Polizei gab bekannt, dass in diese Richtung ermittelt würde. Die Software ist mehreren Sicherheitsforschern zufolge Voraussetzung für eine Zusammenarbeit mit der Regierung der Ukraine, beispielsweise um dort Steuern zu bezahlen. Das würde erklären, warum internationale Großkonzerne von der Attacke auf Windows-Rechner betroffen waren. Die Entwickler von MeDoc haben einer Mitschuld an der Angriffswelle aber widersprochen.
Geld scheffeln oder Chaos stiften?
Während der Verbreitungsweg noch ermittelt wird, weisen Sicherheitsexperten außerdem darauf hin, dass die Malware höchstens ein sehr schlechter Erpressungstrojaner ist. Der Bezahlvorgang ist auffallend kompliziert. Nötig war beispielsweise eine E-Mail-Adresse, die rasch gesperrt wurde. Den Machern der Software ging es offenbar anders als denen hinter der ersten Petya-Welle vergangenes Jahr nicht darum, schnell viel Geld zu machen. Naheliegend wäre dann, dass es eher darum ging, möglichst viel Chaos zu erzeugen. In einer Zusammenfassung zitiert der Sicherheitsforscher Brian Krebs seinen Kollegen Nicholas Weaver mit der Einschätzung, dass es sich wohl um einen "absichtlichen, bösartigen und destruktiven Angriff" handelte oder vielleicht um einen als Erpressungstrojaner getarnten Test. Immerhin haben die Erpresser bisher knapp 8000 Euro an dem Angriff verdient.
In diesem Zusammenhang:
- Allgemeine Tipps gegen Erpressungs-Trojaner
- Backup statt Lösegeld Update: Daten Trojaner-sicher speichern
- Backups vom Fließband: Mit Duplicati in fünf Minuten zum Trojaner-sicheren Backup
Unterdessen hat Kaspersky die Angriffswelle und die verwendete Malware untersucht. Dabei seien genug Unterschiede zu Petya gefunden worden, um zu erklären, dass es sich hierbei nicht um eine Variante des Kryptotrojaners handelt. Deswegen spricht das Unternehmen von "NotPetya" und das haben sich mehrere Sicherheitsforscher inzwischen zu eigen gemacht. Weiterhin scheinen die meisten betroffenen Organisationen ihren Sitz in Russland und der Ukraine zu haben. Wie andere auch, rät Kaspersky dringend dazu, umgehend alle Updates auf Windows-Rechner aufzuspielen. Solange der genaue Verbreitungsweg aber noch nicht ergründet ist, ist aber nicht klar, ob das als Schutzmaßnahme ausreicht. (mho)
