Abo
  • Services:

Ransomware: Petya-Kampagne nutzt Lücke in Buchhaltungssoftware

Einen Tag nach Ausbruch einer neuen globalen Ransomware-Welle gibt es Informationen zum Verbreitungsweg. Die Macher der Ransomware gehen offenbar deutlich organisierter vor, als bei Wanna Cry. Auch das Kernkraftwerk Tschernobyl ist infiziert.

Artikel veröffentlicht am ,
Der gefälschte CHKDSK-Prompt
Der gefälschte CHKDSK-Prompt (Bild: F-Secure)

Die aktuelle Petya-Ransomwarekampagne nutzt mehrere Vektoren, um Rechner zu infizieren. Neben einem Exploit aus dem Shadowbroker-Fundus wird auch eine Schwachstelle in einem von der ukrainischen Regierung genutzten Buchhaltungsprogramm ausgenutzt. Die Ransomware hat vor allem Opfer in der Ukraine befallen, darunter die Zentralbank und das Kernkraftwerk Tschernobyl.

Stellenmarkt
  1. Dataport, Altenholz bei Kiel
  2. IMD Institut für Medizinische Diagnostik GmbH, Berlin-Steglitz

Die Macher der Ransomware wollen offenbar deutlich gezielter vorgehen, als die Autoren von Wanna Cry. Die Infektionen verbreiten sich nicht über das offene Internet, sondern vor allem in Unternehmensnetzwerken. Wird ein Rechner in einem solchen Netzwerk infiziert, beginnt er einen Scan eines /24-Netzwerksegements, es können also maximal 255 IP-Adressen erfasst werden. Wanna Cry nutzte die Eternal-Blue-Schwachstelle im SMBv1-Protokoll und versuchte nach einer Infektion, verwundbare Rechner im gesamten Internet zu finden und diese zu infizieren.

Die russische Sicherheitsfirma Group-IB schreibt, Petya enthalte das Werkzeug LSADump, mit dem in Windows-Netzwerken Passwörter von Clients und Domänen-Controllern ausgelesen werden könnten. Ein wichtiger Vektor zur Installation der Ransomware soll jedoch eine Sicherheitslücke im Update-Mechanismus der Software M.E.Doc sein, eine Buchhaltungssoftware, die die ukrainische Regierung Unternehmen und Organisationen vorschreibt, die mit ihr zusammenarbeiten wollen.

Für Verwirrung dürfte die Namensgebung des Trojaners durch verschiedene Sicherheitsfirmen sein. Alleine Kaspersky nutzt zahlreiche Namen und schrieb zunächst, es würde sich nicht um eine Petya-Variante handeln. Zunächst wurde der Trojaner als NotPetya bezeichnet, mittlerweile bezeichnet die Firma den Schädling als "exPetr". Auch die Bezeichnung Petwrap wird von einigen Firmen verwendet.

Keine individuellen Bitcoin-Wallets

Ähnlich wie bei Wanna Cry verfügt die verbreitete Petya-Variante nicht über individualisierte Bitcoin-Wallets. Opfer, die die Lösegeldforderung bezahlt haben, sollen per Mail Kontakt mit den Erpressern aufnehmen.

Das wird aber nicht gelingen, denn das beim Berliner Mailprovider Posteo angelegte Postfach wurde nach Bekanntwerden des Angriffs durch den Betreiber gesperrt, es werden auch keinerlei eingehende Mails mehr angenommen, wie Posteo schreibt.

Durch die Abschaltung des Postfachs haben Opfer der Ransomware keine Chance mehr, in Kontakt mit den Erpressern zu treten. Generell warnen Sicherheitsfirmen und auch Institutionen wie das BSI und die Polizei davor, Erpresser zu bezahlen, wenn es sich irgendwie vermeiden lässt.

Anders als andere Ransomware verschlüsselt Petya nicht einzelne Dateien, sondern nach einem Reboot den Master-File-Table des Rechners. Eine gefälschte CHKDSK-Warnung nach einem Neustart suggeriert Aufräumarbeiten auf der Festplatte, in dieser Zeit findet aber die Verschlüsselung statt.

Die Ransomware erstellt in infizierten Rechnern eine Aufgabe, die einen automatischen Neustart nach etwa einer Stunde vornimmt, wie die Sicherheitsfirma F-Secure schreibt.

Wer infiziert wurde, kann den Rechner herunterfahren, über einen USB-Stick ein Live-Betriebssystem starten und alle Dateien sichern. Unklar ist derzeit, ob eine früher veröffentlichte Methode zur Entschlüsselung auch bei aktuellen Petya-Opfern hilft.

Erneut wurden vor allem Firmen und Ministerien infiziert, da diese häufiger aus Kompatibilitätsgründen alte Softwareversionen weiter benutzen. Neben der Containerlinie Maersk und dem Ölkozern Rosneft sind auch die ukrainische Zentralbank und das Krisen-AKW Tschernobyl infiziert. Messdaten werden derzeit nicht mehr über ein computergestütztes System erhoben, auch die Webseite des stillgelegten AKW war zwischenzeitlich offline.



Anzeige
Hardware-Angebote
  1. 103,90€
  2. 399,00€ (Wert der Spiele rund 212,00€)

Bizzi 30. Jun 2017

Und niemand merkt, dass dies nur ein "Vorschlag" wäre.

Eheran 29. Jun 2017

Da spricht man einen ganz anderen "Trieb" bei der Zielperson an als bei einer Ransomware...

Eheran 29. Jun 2017

Ja, das kümmert den sogar sehr. Wenn man weiß, dass man es nicht entschlüsselt bekommt...

der_wahre_hannes 29. Jun 2017

So? Wohin "überweisen" die Betroffenen denn das Geld?

Truster 29. Jun 2017

Ich sehe das anders. Sie wollen alles öffnen, müssen es aber noch lange nicht. Wer...


Folgen Sie uns
       


Geforce GTX 1660 Ti im Test

Die Geforce GTX 1660 Ti ist mit 300 Euro die bisher günstigste Turing-Karte von Nvidia, sie hat aber keine RT-Cores für Raytracing oder Tensor-Cores für DLSS-Kantenglättung.

Geforce GTX 1660 Ti im Test Video aufrufen
Security: Vernetzte Autos sicher machen
Security
Vernetzte Autos sicher machen

Moderne Autos sind rollende Computer mit drahtloser Internetverbindung. Je mehr davon auf der Straße herumfahren, desto interessanter werden sie für Hacker. Was tun Hersteller, um Daten der Insassen und Fahrfunktionen zu schützen?
Ein Bericht von Dirk Kunde

  1. Alarmsysteme Sicherheitslücke ermöglicht Übernahme von Autos
  2. Netzwerkanalyse Wireshark 3.0 nutzt Paketsniffer von Nmap
  3. Sicherheit Wie sich "Passwort zurücksetzen" missbrauchen lässt

Flugzeugabsturz: Boeing 737 MAX geht wegen Softwarefehler außer Betrieb
Flugzeugabsturz
Boeing 737 MAX geht wegen Softwarefehler außer Betrieb

Wegen eines bekannten Softwarefehlers wird der Flugbetrieb für Boeings neustes Flugzeug fast weltweit eingestellt - Die letzte Ausnahme war: die USA. Der Umgang der amerikanischen Flugaufsichtsbehörde mit den Problemen des neuen Flugzeugs erscheint zweifelhaft.

  1. Boeing Rollout der neuen 777X in wenigen Tagen
  2. Boeing 747 Der Jumbo Jet wird 50 Jahre alt
  3. Lufttaxi Uber sucht eine weitere Stadt für Uber-Air-Test

Google: Stadia tritt gegen Gaming-PCs, Playstation und Xbox an
Google
Stadia tritt gegen Gaming-PCs, Playstation und Xbox an

GDC 2019 Google streamt nicht nur so ein bisschen - stattdessen tritt der Konzern mit Stadia in direkte Konkurrenz zur etablierten Spielebranche. Entwickler können für ihre Games mehr Teraflops verwenden als auf der PS4 Pro und der Xbox One X zusammen.
Von Peter Steinlechner


      •  /