BSI-Warnung: Nach wie vor hohe Gefahr durch NotPetya-Backdoor in MeDoc

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt deutsche Unternehmen vor der ukrainischen Steuersoftware MeDoc, die als Angriffsvektor für den angeblichen Ransomware-Trojaner NotPetya traurige Bekanntheit erlangte. Nach Erkenntnissen des BSI wurde die Software früher kompromittiert als bisher angenommen. Außerdem wurde die Software laut der Behörde vor dem NotPetya-Ausbruch bereits als Verteilungsvektor für weiteren Schadcode missbraucht. Da es sich dabei wohl um Spionagesoftware handelt, wüssten Firmen eventuell gar nicht, dass sie infiziert sind, warnt das BSI.

Mehr Infos

"Wir beobachten hier, dass die Täter über die gleichen Verbreitungswege weitere Schadsoftware verteilt haben, die sich im Gegensatz zu Verschlüsselungstrojanern nicht sofort bemerkbar machen. Ihr Schadenspotential ist dabei allerdings mindestens ebenso hoch."

– BSI-Präsident Arne Schönbohm

MeDoc muss demnach seit April als suspekt betrachtet werden. Man habe festgestellt, dass die Software nach dem 13.04. in mehreren Wellen Schadsoftware verteilt habe, die im Gegensatz zu NotPetya nicht direkt in unbrauchbare Computer gemündet habe. Auch Datensicherungen, die nach diesem Datum angelegt wurden, müssen als kompromittiert betrachtet werden. Das BSI beruft sich in seiner Meldung auf Erkenntnisse nicht genannter Sicherheitsforscher.

Das BSI rät, MeDoc-Installationen in abgetrennte Netze abzukapseln und alle Systeme, die von diesen Rechnern aus erreichbar sind auf Angriffsspuren zu untersuchen. Infizierte Rechner sollten, wenn möglich, komplett neu installiert werden. Auf jeden Fall sollten Administratoren und Nutzer ihre Zugangsdaten auf betroffenen Systemen umgehend ändern. Im Zweifel, so die Behörde, solle man externe Fachkräfte zu Rate ziehen. Betroffene Unternehmen können sich per E-Mail an das BSI wenden. (fab)