Alles, was wir bisher ĂĽber den Petya/NotPetya-Ausbruch wissen
Ein riesiger Ausbruch eines weiteren Erpressungstrojaners hält die Welt in Atem. Wie kam es zu dem Angriff, wer profitiert davon und was kann ich unternehmen, um mich zu schützen? Wir haben den aktuellen Wissensstand zusammengetragen.
- Fabian A. Scherschel
Keine zwei Monate nach der aufsehenerregenden Attacke des Erpressungstrojaners WannaCry rollt eine zweite Ransomware-Welle um den halben Globus. Dabei scheint es sich, wenigstens dem Anschein nach, um eine neue Version des Trojaners Petya zu handeln. Ziemlich schnell wurde Sicherheitsforschern, die den Ausbruch untersuchten, allerdings klar, dass es sich bei den Angreifern diesmal wohl nicht um einfache Erpresser handelt. Die neue Petya-Variante scheint Erpressung nur als Vorwand zu verwenden – eigentlich geht es wohl darum, möglichst viel Chaos zu erzeugen und Firmen lahmzulegen. Alles deutet auf eine politisch motivierte Cyberattacke hin.
Schadcode im Software-Update einer Steuersoftware
Ziel scheint die Ukraine zu sein, die zuerst und am härtesten getroffen wurde. Dabei stellt der Angriff eine ganz neue Qualität der Cyberattacken dar. Die neue Petya-Version scheint sich nämlich zuerst über ein Update der ukrainischen Steuersoftware MeDoc verbreitet zu haben. Diese Software nutzt eigentlich jeder, der in der Ukraine Steuern zahlen muss – unter anderem große multinationale Konzerne wie das dänische Konglomerat Maersk, die ebenfalls infiziert wurden. Unseren Erkenntnissen nach ist dies das erste Mal, dass ein solcher Trojaner nicht über Phishing-Mails oder ein Exploit-Kit, sondern über ein Software-Update verteilt wird.
Sicherheitsforscher vermuten, dass Angreifer sich Zugang zum Update-System der MeDoc-Entwickler verschafft haben, um den Trojaner dort einzuschleusen. Die Software scheint die digitalen Signaturen ihrer Updates nur ungenügend zu prüfen, da das Trojaner-Update mit einem gefälschten Microsoft-Zertifikat versehen war. Das hätte einer gründlichen Prüfung nach dem Herunterladen und vor der Installation eigentlich nicht standhalten dürfen. Bisher streiten die MeDoc-Entwickler allerdings ab, an der Infektionswelle Mitschuld zu haben.
Theoretisch könnte es auch sein, dass die MeDoc-Server nicht kompromittiert wurden und die Angreifer die Anfragen ihrer Opfer per DNS auf eigene, bösartige Server umgeleitet haben. Oder das trojanerbehaftete Update wurde per Man-in-the-Middle-Angriff bei den MeDoc-Anwendern eingeschleust. Letzteres ist allerdings angesichts der anfänglich sehr breiten und rapiden Verteilung des Trojaners eher unwahrscheinlich.
Petya, Mischa, Goldeneye – James Bond lässt grüßen
Der ursprüngliche Trojaner mit dem Namen Petya, der zuerst Anfang 2016 auf den Plan trat, stellte sich nachher als Teil einer Trojaner-Familie heraus, zu der auch die Ransomware Goldeneye gehörte. Die hielt uns Ende desselben Jahres in Atem. Später wurde deutlich, dass hinter der Trojaner-Familie wohl Angreifer standen, die Fans des Bond-Films GoldenEye sind. Die Motivation dieser Gruppe, die sich selbst Janus Cybercrime nennt, war offensichtlich, durch Erpressung Kryptogeld zu scheffeln. Sie gingen sogar dazu über, ihre Malware über ein Affiliate-System zu vermieten, um am Gewinn anderer Krimineller beteiligt zu werden. Gerüchten zufolge wurde der Petya-Quellcode später ebenfalls in Untergrund-Foren zum Verkauf angeboten.
Bei dem neuen Angriff scheint es sich allerdings gar nicht um Petya zu handeln. Vielmehr sieht alles nach einem ganz neuen Trojaner aus, der nur den Anschein erweckt, er sei mit Petya, Mischa und Goldeneye verwandt. Kaspersky bezeichnet die neue Malware deswegen explizit als NotPetya und auch andere Sicherheitsforscher sind mittlerweile dazu ĂĽbergegangen.