Ransomware: Petya-Kampagne nutzt Lücke in Buchhaltungssoftware

Die aktuelle Petya-Ransomwarekampagne nutzt mehrere Vektoren, um Rechner zu infizieren. Neben einem Exploit aus dem Shadowbroker-Fundus wird auch eine Schwachstelle in einem von der ukrainischen Regierung genutzten Buchhaltungsprogramm ausgenutzt. Die Ransomware hat vor allem Opfer in der Ukraine befallen, darunter die Zentralbank und das Kernkraftwerk Tschernobyl.

Die Macher der Ransomware wollen offenbar deutlich gezielter vorgehen, als die Autoren von Wanna Cry. Die Infektionen verbreiten sich nicht über das offene Internet, sondern vor allem in Unternehmensnetzwerken. Wird ein Rechner in einem solchen Netzwerk infiziert, beginnt er einen Scan eines /24-Netzwerksegements, es können also maximal 255 IP-Adressen erfasst werden. Wanna Cry nutzte die Eternal-Blue-Schwachstelle im SMBv1-Protokoll und versuchte nach einer Infektion, verwundbare Rechner im gesamten Internet zu finden und diese zu infizieren.

Die russische Sicherheitsfirma Group-IB schreibt, Petya enthalte das Werkzeug LSADump, mit dem in Windows-Netzwerken Passwörter von Clients und Domänen-Controllern ausgelesen werden könnten. Ein wichtiger Vektor zur Installation der Ransomware soll jedoch eine Sicherheitslücke im Update-Mechanismus der Software M.E.Doc sein, eine Buchhaltungssoftware, die die ukrainische Regierung Unternehmen und Organisationen vorschreibt, die mit ihr zusammenarbeiten wollen.

Für Verwirrung dürfte die Namensgebung des Trojaners durch verschiedene Sicherheitsfirmen sein. Alleine Kaspersky nutzt zahlreiche Namen und schrieb zunächst, es würde sich nicht um eine Petya-Variante handeln. Zunächst wurde der Trojaner als NotPetya bezeichnet, mittlerweile bezeichnet die Firma den Schädling als "exPetr". Auch die Bezeichnung Petwrap wird von einigen Firmen verwendet.

Keine individuellen Bitcoin-Wallets

Ähnlich wie bei Wanna Cry verfügt die verbreitete Petya-Variante nicht über individualisierte Bitcoin-Wallets. Opfer, die die Lösegeldforderung bezahlt haben, sollen per Mail Kontakt mit den Erpressern aufnehmen.

Das wird aber nicht gelingen, denn das beim Berliner Mailprovider Posteo angelegte Postfach wurde nach Bekanntwerden des Angriffs durch den Betreiber gesperrt, es werden auch keinerlei eingehende Mails mehr angenommen, wie Posteo schreibt.

Durch die Abschaltung des Postfachs haben Opfer der Ransomware keine Chance mehr, in Kontakt mit den Erpressern zu treten. Generell warnen Sicherheitsfirmen und auch Institutionen wie das BSI und die Polizei davor, Erpresser zu bezahlen, wenn es sich irgendwie vermeiden lässt.

Anders als andere Ransomware verschlüsselt Petya nicht einzelne Dateien, sondern nach einem Reboot den Master-File-Table des Rechners. Eine gefälschte CHKDSK-Warnung nach einem Neustart suggeriert Aufräumarbeiten auf der Festplatte, in dieser Zeit findet aber die Verschlüsselung statt.

Die Ransomware erstellt in infizierten Rechnern eine Aufgabe, die einen automatischen Neustart nach etwa einer Stunde vornimmt, wie die Sicherheitsfirma F-Secure schreibt.

Wer infiziert wurde, kann den Rechner herunterfahren, über einen USB-Stick ein Live-Betriebssystem starten und alle Dateien sichern. Unklar ist derzeit, ob eine früher veröffentlichte Methode zur Entschlüsselung auch bei aktuellen Petya-Opfern hilft.

Erneut wurden vor allem Firmen und Ministerien infiziert, da diese häufiger aus Kompatibilitätsgründen alte Softwareversionen weiter benutzen. Neben der Containerlinie Maersk und dem Ölkozern Rosneft sind auch die ukrainische Zentralbank und das Krisen-AKW Tschernobyl infiziert. Messdaten werden derzeit nicht mehr über ein computergestütztes System erhoben, auch die Webseite des stillgelegten AKW war zwischenzeitlich offline.