Alles, was wir bisher über den Petya/NotPetya-Ausbruch wissen

Inhaltsverzeichnis

Keine zwei Monate nach der aufsehenerregenden Attacke des Erpressungstrojaners WannaCry rollt eine zweite Ransomware-Welle um den halben Globus. Dabei scheint es sich, wenigstens dem Anschein nach, um eine neue Version des Trojaners Petya zu handeln. Ziemlich schnell wurde Sicherheitsforschern, die den Ausbruch untersuchten, allerdings klar, dass es sich bei den Angreifern diesmal wohl nicht um einfache Erpresser handelt. Die neue Petya-Variante scheint Erpressung nur als Vorwand zu verwenden – eigentlich geht es wohl darum, möglichst viel Chaos zu erzeugen und Firmen lahmzulegen. Alles deutet auf eine politisch motivierte Cyberattacke hin.

Schadcode im Software-Update einer Steuersoftware

Ziel scheint die Ukraine zu sein, die zuerst und am härtesten getroffen wurde. Dabei stellt der Angriff eine ganz neue Qualität der Cyberattacken dar. Die neue Petya-Version scheint sich nämlich zuerst über ein Update der ukrainischen Steuersoftware MeDoc verbreitet zu haben. Diese Software nutzt eigentlich jeder, der in der Ukraine Steuern zahlen muss – unter anderem große multinationale Konzerne wie das dänische Konglomerat Maersk, die ebenfalls infiziert wurden. Unseren Erkenntnissen nach ist dies das erste Mal, dass ein solcher Trojaner nicht über Phishing-Mails oder ein Exploit-Kit, sondern über ein Software-Update verteilt wird.

Sicherheitsforscher vermuten, dass Angreifer sich Zugang zum Update-System der MeDoc-Entwickler verschafft haben, um den Trojaner dort einzuschleusen. Die Software scheint die digitalen Signaturen ihrer Updates nur ungenügend zu prüfen, da das Trojaner-Update mit einem gefälschten Microsoft-Zertifikat versehen war. Das hätte einer gründlichen Prüfung nach dem Herunterladen und vor der Installation eigentlich nicht standhalten dürfen. Bisher streiten die MeDoc-Entwickler allerdings ab, an der Infektionswelle Mitschuld zu haben.

Theoretisch könnte es auch sein, dass die MeDoc-Server nicht kompromittiert wurden und die Angreifer die Anfragen ihrer Opfer per DNS auf eigene, bösartige Server umgeleitet haben. Oder das trojanerbehaftete Update wurde per Man-in-the-Middle-Angriff bei den MeDoc-Anwendern eingeschleust. Letzteres ist allerdings angesichts der anfänglich sehr breiten und rapiden Verteilung des Trojaners eher unwahrscheinlich.

Petya, Mischa, Goldeneye – James Bond lässt grüßen

Der ursprüngliche Trojaner mit dem Namen Petya, der zuerst Anfang 2016 auf den Plan trat, stellte sich nachher als Teil einer Trojaner-Familie heraus, zu der auch die Ransomware Goldeneye gehörte. Die hielt uns Ende desselben Jahres in Atem. Später wurde deutlich, dass hinter der Trojaner-Familie wohl Angreifer standen, die Fans des Bond-Films GoldenEye sind. Die Motivation dieser Gruppe, die sich selbst Janus Cybercrime nennt, war offensichtlich, durch Erpressung Kryptogeld zu scheffeln. Sie gingen sogar dazu über, ihre Malware über ein Affiliate-System zu vermieten, um am Gewinn anderer Krimineller beteiligt zu werden. Gerüchten zufolge wurde der Petya-Quellcode später ebenfalls in Untergrund-Foren zum Verkauf angeboten.

Bei dem neuen Angriff scheint es sich allerdings gar nicht um Petya zu handeln. Vielmehr sieht alles nach einem ganz neuen Trojaner aus, der nur den Anschein erweckt, er sei mit Petya, Mischa und Goldeneye verwandt. Kaspersky bezeichnet die neue Malware deswegen explizit als NotPetya und auch andere Sicherheitsforscher sind mittlerweile dazu übergegangen.

Politisch motivierte Attacke mit einer Menge Fallout

Schaut man sich den Infektionsweg des neuen Trojaners an, wird deutlich, dass der Schadcode um einiges raffinierter ist als die ursprüngliche Goldeneye-Familie. Nicht nur, dass die Entwickler die wurmartige Verbreitung über die SMB1-Lücke der NSA (ETERNALBLUE) von WannaCry übernommen haben, sie haben außerdem weitere clevere Verbreitungsmethoden eingebaut.

Im krassen Unterschied dazu sind allerdings die Bezahlmöglichkeiten für Opfer im Gegensatz zu Petya ziemlich verkümmert. Eine fest-eingebaute Bitcoin-Adresse und einzige Mail-Adresse als Kontakt zu den Erpressern wirkt gegenüber dem ausgeklügelten Web-Interface von Goldeneye gradezu stümperhaft. Was unter anderem dazu geführt hat, dass der Zahlungsweg zu den Angreifern sehr schnell kastriert wurde.

Das alles legt die Vermutung nahe, dass es sich um einen politisch-motivierten Angriff handelt, der Chaos stiften will und dass sich die NotPetya-Angreifer nur als Petya-Erpresser ausgeben. Sie nutzen den Vorwand der Erpressung also als Plausible Deniability, um den Verdacht von sich abzulenken. Ob es sich bei den Angreifern um staatliche Hacker handelt, ist allerdings bei weitem nicht klar. Denkbar sind auch andere Akteure, die zwar politisch motiviert sind, aber dennoch unabhängig von staatlichen Regierungen agieren.

Neben Organisationen in der Ukraine haben die Angreifer dabei auch viele große Firmen in Deutschland, dem Vereinigten Königreich und den USA in Mitleidenschaft gezogen. Es ist durchaus denkbar. dass dieser Kollateralschaden willentlich in Kauf genommen wurde oder sogar Teil des Plans für den Ausbruch war.

Ein sehr ausgeklügelter Infektionsweg

Sicherheitsforscher von McAfee haben die Verbreitung des Trojaners analysiert. Dabei fällt auf, wie raffiniert der Trojaner agiert. Einmal auf dem System des Opfers angekommen, scannt die Malware das den Rechner unmittelbar umgebende Netz. Dabei geht sie im Gegensatz zu WannaCry sehr methodisch vor. Zuerst versucht NotPetya, einen Domain Server zu finden. Von diesem sammelt der Schadcode dann eine Liste von Rechnern im Netz – diese werden dann gezielt infiziert. Das erzeugt viel weniger auffälligen Traffic im Netzwerk als das wahllose Paket-Herumgesprühe von Trojanern wie WannaCry oder Conficker.

Infektionen einzelner Rechner werden zuerst einmal wie bei WannaCry über den ETERNALBLUE-Exploit probiert. Microsoft hat diese Lücke allerdings vor einiger Zeit in allen Windows-Versionen ab XP geschlossen. Die Wahrscheinlichkeit, diese Lücke jetzt noch auszunutzen, ist also recht klein. Deshalb hat NotPetya noch weitere Angriffe in petto.

Unter anderem versucht der Trojaner sich auf die versteckten ADMIN$-Verzeichnisse anderer Rechner zu kopieren und sich dann per PsExec auszuführen – wozu Admin-Rechte in der Domäne benötigt werden. Schlägt das fehl hat NotPetya noch die Möglichkeit, sich direkt über die Windows Management Instrumentation Command-line (WMIC) auf dem Zielrechner zu starten. Um an die benötigten Rechte zu kommen, bringt NotPetya ein Passwort-Dump-Tool mit, das Werkzeugen wie Mimikatz und LSADump ähnelt. Damit versucht der Trojaner, Windows-Credentials im Netz zu erbeuten. Ein solches Vorgehen sieht man normalerweise eher bei raffinierten und sehr gezielten (APT-ähnlichen) Angriffen auf sehr begehrte Ziele. Ähnliche Methoden kamen etwa bei Angriffen im Parlamentsnetz des deutschen Bundestages zur Anwendung.

Verschlüsselung der Daten und des MBR

Nach einer bestimmten Zeit (standardmäßig sind das 40 Minuten) starten sich infizierte Rechner neu. Nun verrichtet der Trojaner sein zerstörerisches Werk. Zuerst wird ein gefälschter CHKDSK-Bildschirm angezeigt, genau wie bei Petya. Im Gegensatz zu seinem Vorgänger verschlüsselt NotPetya die Daten auf der Systemplatte und den Master Boot Record (MBR) des Systems allerdings nicht mit dem SALSA20-Algorithmus, sondern mit AES-128 und RSA. Die Liste der verschlüsselten Dateien ist, im Gegensatz zu vielen anderen Kryptotrojanern, relativ kurz. Darunter sind komprimierte Archive, PDF-Dokumente, Office-Dateien, Mail-Ordner, Virtuelle Maschinen und Backup-Dateien.

Infektion und Verschlüsselung durch NotPetya funktioniert sowohl auf 32- als auch auf 64-Bit-Windows-Rechnern. Nachdem der Trojaner seine zerstörerische Arbeit durchgeführt hat, versucht er, seine Spuren zu verwischen. Command-and-Control-Server werden von dem Trojaner anscheinend nicht verwendet. Die Malware scheint einen Kill Switch zu besitzen: Ist eine bestimmte Datei auf einem System vorhanden, wird dieses nicht infiziert.

Was kann ich unternehmen, wenn ich infiziert wurde?

Wer Hinweise darauf hat, dass ein System von NotPetya infiziert wurde, sollte dieses umgehend vom Strom trennen. Unter Umständen verhindern Sie so, dass Daten verschlüsselt werden. Schon verschlüsselte Festplatten sollte man aufbewahren. Mit etwas Glück entdecken Sicherheitsforscher nach einiger Zeit Fehler in der Verschlüsselung des Trojaners und es wird ein Werzeug veröffentlicht, mit dem man seine Daten retten kann. Lesen Sie dazu auch allgemeine Tipps gegen Erpressungs-Trojaner.

Um eine Infektion im Vorhinein zu verhindern, kann man bestimme Dateien im Ordner C:\Windows anlegen. Der Sicherheitsforscher Lawrence Adams hat dafür eine Batch-Datei mit folgendem Inhalt entwickelt:

@echo off

echo Administrative permissions required. Detecting permissions...
echo.

net session >nul 2>&1

if %errorLevel% == 0 (
if exist C:\Windows\perfc (
echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
echo.
) else (
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dll
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dat

attrib +R C:\Windows\perfc
attrib +R C:\Windows\perfc.dll
attrib +R C:\Windows\perfc.dat

echo Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
echo.
)
) else (
echo Failure: You must run this batch file as Administrator.
)

pause

Dabei ist zu beachten, dass irgendwann eventuell neuere Versionen des Trojaners in Umlauf geraten, die diesen Kill Switch ignorieren. Diese Methode sollte deswegen nicht als absolut verlässlicher Schutz angesehen werden. Vor allem sollte man immer darauf achten, dass Windows alle aktuellen Sicherheits-Updates eingespielt hat und auch der Virenscanner immer aktuell ist. Sicherheitslücken wie die ETERNALBLUE-Hintertür funktionieren schließlich nur auf Systemen, die nicht auf dem aktuellen Stand sind.

Die beste Verteidigung gegen Bedrohungen wie Petya, NotPetya und ihre fiesen Verwandten sind allerdings aktuelle Backups. Der kostenlos zugängliche c't-Artikel Backup statt Lösegeld erklärt, wie man sich auf den Ernstfall vorbereitet. Ein weiterer Artikel erklärt das kostenlose Backup-Tool Duplicati. (fab)