Erneut ist es mit dem Verschlüsselungstrojaner Petya zu einem weltweiten Cyberangriff gekommen. Es ist die zweite große Cyberattacke in der ersten Jahreshälfte 2017, die ganze Unternehmen lahmlegt. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) gehören auch deutsche Betriebe zu den Opfern.
Wie Unternehmen sich vor Petya und Co. schützen können, lesen Sie hier.
Laut BSI weist diese zweite Angriffswelle bezüglich Verbreitungsgrad und -geschwindigkeit Ähnlichkeiten zum Cyber-Sicherheitsvorfall mit dem Crypto-Trojaner WannaDecryptor auf. Das BSI ruft Unternehmen und Institutionen in Deutschland auf, IT-Sicherheitsvorfälle beim BSI zu melden. Betroffene Unternehmen sollten nicht auf Lösegeldforderungen eingehen. Experten hatten nach WannaCry bereits vor einem erneuten Cyberangriff gewarnt, der die gleiche Sicherheitslücke nutzt: EternalRocks. Ähnlichkeiten zu Petya sind auch hier vorhanden.
Cyberattacke: Der Verschlüsselungstrojaner Petya greift Unternehmen an.
Petya kann sich trotz Patch verbreiten
Der aktuelle Verschlüsselungstrojaner nutzt nach Angaben des BSI die gleiche Schwachstelle, die auch die Ransomware WannaCry nutzte. „Das Patchen dieser Schwachstelle mit dem seit Monaten verfügbaren Microsoft-Patch hätte in vielen Fällen eine Infektion verhindert“, erklärt BSI-Präsident Arne Schönbohm. Aber: In internen Netzen benutzt Petya zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung und kann damit auch Systeme befallen, die auf aktuellem Patchstand sind.
Falk Garbsch, Sprecher des Chaos Computer Clubs, erklärt, dass der aktuelle Verschlüsselungstrojaner nicht nur die durch WannaCry bekannte Sicherheitslücke, sondern auch andere Lücken im Netzwerk nutzt, um in die Systeme zu kommen. Daher konnte sich Petya auch auf Windows-10-Systemen weiterverbreiten. Die Infizierung von einem einzelnen Rechner im Firmennetzwerk reiche hierfür schon aus. Eine spezielle Routine der Ransomware lässt den Computer nach Abschluss der Verschlüsselung abstürzen. Der damit ausgelöste Neustart macht den Computer zusätzlich dazu unbrauchbar.
Um sich gegen Verschlüsselungstrojaner à la Petya zu schützen, ist es in erster Linie ratsam, die Software auf Firmenrechnern immer auf dem neuesten Stand zu halten – mit einem Antivirus, regelmäßigen Updates und Sicherungskopien (Backup). IT-Sicherheitsexperte Frank Graziani, Bereichsleiter bei Thinking Objects, empfiehlt zudem eine Netzwerksegmentierung.
Lösegeld zu zahlen, ist sinnlos
Wird Petya auf einem Rechner aktiv, verschlüsselt er die Dateien des betroffenen Systems. Danach erscheint auf dem Bildschirm eine Mitteilung. Diese fordert den Benutzer zu einer Zahlung von etwa 300 US-Dollar in Bitcoin auf. Das Lösegeld soll auf ein einziges Konto überweisen werden. Die Opfer, die zahlen, sollen die Überweisung per E-Mail an die Adresse wowsmith123456@posteo.net bestätigen, damit ihre Daten entschlüsselt werden.
Allerdings hat der E-Mail-Anbieter Posteo diese Adresse bereits gesperrt. Lösegeld zu zahlen, ist also sinnlos. Daher wird gemutmaßt, dass die Angreifer eher auf Chaos als auf Profit aus sind. Auch Behörden raten davon ab, die Täter mit Zahlungen noch weiter zu unterstützen. Alles zusammen ist wohl der Grund, warum bei 2000 Infizierungen am Dienstag bis Mittwochmorgen, 28. Juni 2017, laut Kaspersky nur 24 Zahlungen auf dem Bitcoin-Konto eingegangen seien – umgerechnet 6000 US-Dollar.
Zerstörung statt Verschlüsselung?
Update vom 29. Juni 2017:
Zwei voneinander unabhängige Analysen des Programmcodes der Ransomware haben ergeben: Petya verschlüsselt die Daten unumkehrbar. Der Verschlüsselungstrojaner verfolge nur ein Ziel: Daten irreversibel zu zerstören. Das teilen Sicherheitsexperten von Comae Technologies und Kaspersky in ihren Blogs mit. Dem widerspricht der finnische Sicherheitsanbieter F-Secure in einer FAQ. „Wir haben den Code geprüft und haben bisher keine Hinweise darauf gefunden, dass diese Malware irgendetwas anderes sein will als eine Ransomware.“ Laut Microsoft ist Petya über ein gefälschtes Update einer Buchhaltungssoftware in Umlauf gebracht worden.
Petya: Welche Firmen sind betroffen?
Der Verschlüselungstrojaner Petya verbreitet sich auf der ganzen Welt. Firmen und Institutionen sind die Opfer. Ausgehend von der Ukraine und Russland breitete sich Petya über Polen, Deutschland, Frankreich, Italien und die USA schnell aus. Zu den Opfern zählen die dänische Unternehmensgruppe Maersk, der Pharmakonzern Merck und die britische Werbeagentur WPP, der Lebensmittel-Riese Mondelez (Milka), sogar das Kernkraftwerk Tschernobyl. Laut NDR ist in Deutschland der Beiersdorf-Konzern von der Cyberattacke betroffen.
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung