Verschlüsselungstrojaner Petya

Cyberattacke trifft Firmen


28. Juni 2017, von in IT-Sicherheit

Erneut ist es zu einem weltweiten Cyberangriff mit dem Verschlüsselungstrojaner Petya gekommen. Auch deutsche Unternehmen zählen laut Bundesamt für Sicherheit in der Informationstechnik (BSI) zu den Opfern. Es ist die zweite große Cyberattacke seit Mitte Mai, die ganze Unternehmen lahmlegt. Was dieses Mal anders ist und wie Unternehmen sich vor Petya und Co. schützen können, lesen Sie hier.

Laut BSI weist diese zweite Angriffswelle bezüglich Verbreitungsgrad und -geschwindigkeit Ähnlichkeiten zum Cyber-Sicherheitsvorfall mit dem Crypto-Trojaner WannaDecryptor auf. Das BSI ruft Unternehmen und Institutionen in Deutschland auf, IT-Sicherheitsvorfälle beim BSI zu melden. Betroffene Unternehmen sollten nicht auf Lösegeldforderungen eingehen. Experten hatten nach WannaCry bereits vor einem erneuten Cyberangriff gewarnt, der die gleiche Sicherheitslücke nutzt: EternalRocks. Ähnlichkeiten zu Petya sind auch hier vorhanden.

petya

Cyberattacke: Der Verschlüsselungstrojaner Petya greift Unternehmen an.

Petya kann sich verbreiten trotz Patch

Der aktuelle Verschlüsselungstrojaner nutzt nach Angaben des BSI die gleiche Schwachstelle, die auch die Ransomware WannaCry nutzte. „Das Patchen dieser Schwachstelle mit dem seit Monaten verfügbaren Microsoft-Patch hätte in vielen Fällen eine Infektion verhindert“, erklärt BSI-Präsident Arne Schönbohm. Aber: In internen Netzen benutzt Petya zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung und kann damit auch Systeme befallen, die auf aktuellem Patchstand sind.

Falk Garbsch, Sprecher des Chaos Computer Clubs, erklärt, dass der aktuelle Verschlüsselungstrojaner nicht nur die durch WannaCry bekannte Sicherheitslücke, sondern auch andere Lücken im Netzwerk nutzt, um in die Systeme zu kommen. Daher konnte sich Petya auch auf Windows 10 Systemen weiterverbreiten. Im Zweifelsfall reiche es aus, dass ein einzelner Rechner in einem Firmennetzwerk infiziert werde. Eine spezielle Routine der Ransomware lässt den Computer nach Abschluss der Verschlüsselung abstürzen. Der damit ausgelöste Neustart macht den Computer unbrauchbar.

Um sich gegen Verschlüsselungstrojaner à la Petya zu schützen, ist es in erster Linie ratsam, die Software auf Firmenrechnern immer auf dem neuesten Stand zu halten – mit einem Antivirus, regelmäßigen Updates und Sicherungskopien (Backup). IT-Sicherheitsexperte Frank Graziani, Bereichsleiter bei Thinking Objects, empfiehlt zudem eine Netzwerksegmentierung.

Lösegeld zu zahlen, ist sinnlos

Wird Petya auf einem Rechner aktiv, verschlüsselt er die Dateien des betroffenen Systems. Danach erscheint auf dem Bildschirm eine Mitteilung. Darin wird der Benutzer zu einer Zahlung von etwa 300 US-Dollar in Bitcoin aufgefordert. Das Lösegeld soll auf ein einziges Konto überweisen werden. Die Opfer, die zahlen, sollen die Überweisung per E-Mail an die Adresse wowsmith123456@posteo.net bestätigen, damit ihre Daten entschlüsselt werden. Allerdings hat der E-Mail-Anbieter Posteo diese Adresse bereits gesperrt. Lösegeld zu zahlen, ist also sinnlos. Daher wird gemutmaßt, dass die Angreifer eher auf Chaos als auf Profit aus sind. Auch Behörden raten davon ab, die Täter mit Zahlungen noch weiter zu unterstützen. Alles zusammen ist wohl der Grund, warum bei 2000 Infizierungen am Dienstag bis Mittwochmorgen, 28. Juni 2017, laut Kaspersky nur 24 Zahlungen auf dem Bitcoin-Konto eingegangen seien – umgerechnet 6000 US-Dollar.

Zerstörung statt Verschlüsselung?

Update vom 29. Juni 2017:

Zwei voneinander unabhängige Analysen des Programmcodes der Ransomware haben ergeben: Petya verschlüsselt die Daten unumkehrbar. Der Verschlüsselungstrojaner verfolge nur ein Ziel: Daten irreversibel zu zerstören. Das teilen Sicherheitsexperten von Comae Technologies und Kaspersky in ihren Blogs mit. Dem widerspricht der finnische Sicherheitsanbieter F-Secure in einer FAQ. „Wir haben den Code geprüft und haben bisher keine Hinweise darauf gefunden, dass diese Malware irgendetwas anderes sein will als eine Ransomware.“ Laut Microsoft ist Petya über ein gefälschtes Update einer Buchhaltungssoftware in Umlauf gebracht worden.

Petya: Welche Firmen sind betroffen?

Der Verschlüselungstrojaner Petya verbreitet sich auf der ganzen Welt. Firmen und Institutionen sind die Opfer. Ausgehend von der Ukraine und Russland breitete sich Petya über Polen, Deutschland, Frankreich, Italien und die USA schnell aus. Zu den Opfern zählen die dänische Unternehmensgruppe Maersk, der Pharmakonzern Merck und die britische Werbeagentur WPP, der Lebensmittel-Riese Mondelez (Milka), sogar das Kernkraftwerk Tschernobyl. Laut NDR ist in Deutschland der Beiersdorf-Konzern von der Cyberattacke betroffen.

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

This site uses Akismet to reduce spam. Learn how your comment data is processed.