Ransomware: Petya-Kampagne nutzt Lücke in Buchhaltungssoftware

Einen Tag nach Ausbruch einer neuen globalen Ransomware-Welle gibt es Informationen zum Verbreitungsweg. Die Macher der Ransomware gehen offenbar deutlich organisierter vor, als bei Wanna Cry. Auch das Kernkraftwerk Tschernobyl ist infiziert.

Artikel veröffentlicht am ,
Der gefälschte CHKDSK-Prompt
Der gefälschte CHKDSK-Prompt (Bild: F-Secure)

Die aktuelle Petya-Ransomwarekampagne nutzt mehrere Vektoren, um Rechner zu infizieren. Neben einem Exploit aus dem Shadowbroker-Fundus wird auch eine Schwachstelle in einem von der ukrainischen Regierung genutzten Buchhaltungsprogramm ausgenutzt. Die Ransomware hat vor allem Opfer in der Ukraine befallen, darunter die Zentralbank und das Kernkraftwerk Tschernobyl.

Stellenmarkt
  1. (Senior) Expert Development (m/w/d) Backend SAP-Commerce / Hybris
    Fressnapf Holding SE, Düsseldorf
  2. Entwickler (m/w/d) Business Intelligence / Data Warehouse
    bofrost*, Straelen
Detailsuche

Die Macher der Ransomware wollen offenbar deutlich gezielter vorgehen, als die Autoren von Wanna Cry. Die Infektionen verbreiten sich nicht über das offene Internet, sondern vor allem in Unternehmensnetzwerken. Wird ein Rechner in einem solchen Netzwerk infiziert, beginnt er einen Scan eines /24-Netzwerksegements, es können also maximal 255 IP-Adressen erfasst werden. Wanna Cry nutzte die Eternal-Blue-Schwachstelle im SMBv1-Protokoll und versuchte nach einer Infektion, verwundbare Rechner im gesamten Internet zu finden und diese zu infizieren.

Die russische Sicherheitsfirma Group-IB schreibt, Petya enthalte das Werkzeug LSADump, mit dem in Windows-Netzwerken Passwörter von Clients und Domänen-Controllern ausgelesen werden könnten. Ein wichtiger Vektor zur Installation der Ransomware soll jedoch eine Sicherheitslücke im Update-Mechanismus der Software M.E.Doc sein, eine Buchhaltungssoftware, die die ukrainische Regierung Unternehmen und Organisationen vorschreibt, die mit ihr zusammenarbeiten wollen.

Für Verwirrung dürfte die Namensgebung des Trojaners durch verschiedene Sicherheitsfirmen sein. Alleine Kaspersky nutzt zahlreiche Namen und schrieb zunächst, es würde sich nicht um eine Petya-Variante handeln. Zunächst wurde der Trojaner als NotPetya bezeichnet, mittlerweile bezeichnet die Firma den Schädling als "exPetr". Auch die Bezeichnung Petwrap wird von einigen Firmen verwendet.

Keine individuellen Bitcoin-Wallets

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  3. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
Weitere IT-Trainings

Ähnlich wie bei Wanna Cry verfügt die verbreitete Petya-Variante nicht über individualisierte Bitcoin-Wallets. Opfer, die die Lösegeldforderung bezahlt haben, sollen per Mail Kontakt mit den Erpressern aufnehmen.

Das wird aber nicht gelingen, denn das beim Berliner Mailprovider Posteo angelegte Postfach wurde nach Bekanntwerden des Angriffs durch den Betreiber gesperrt, es werden auch keinerlei eingehende Mails mehr angenommen, wie Posteo schreibt.

Durch die Abschaltung des Postfachs haben Opfer der Ransomware keine Chance mehr, in Kontakt mit den Erpressern zu treten. Generell warnen Sicherheitsfirmen und auch Institutionen wie das BSI und die Polizei davor, Erpresser zu bezahlen, wenn es sich irgendwie vermeiden lässt.

Anders als andere Ransomware verschlüsselt Petya nicht einzelne Dateien, sondern nach einem Reboot den Master-File-Table des Rechners. Eine gefälschte CHKDSK-Warnung nach einem Neustart suggeriert Aufräumarbeiten auf der Festplatte, in dieser Zeit findet aber die Verschlüsselung statt.

Die Ransomware erstellt in infizierten Rechnern eine Aufgabe, die einen automatischen Neustart nach etwa einer Stunde vornimmt, wie die Sicherheitsfirma F-Secure schreibt.

Wer infiziert wurde, kann den Rechner herunterfahren, über einen USB-Stick ein Live-Betriebssystem starten und alle Dateien sichern. Unklar ist derzeit, ob eine früher veröffentlichte Methode zur Entschlüsselung auch bei aktuellen Petya-Opfern hilft.

Erneut wurden vor allem Firmen und Ministerien infiziert, da diese häufiger aus Kompatibilitätsgründen alte Softwareversionen weiter benutzen. Neben der Containerlinie Maersk und dem Ölkozern Rosneft sind auch die ukrainische Zentralbank und das Krisen-AKW Tschernobyl infiziert. Messdaten werden derzeit nicht mehr über ein computergestütztes System erhoben, auch die Webseite des stillgelegten AKW war zwischenzeitlich offline.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Bizzi 30. Jun 2017

Und niemand merkt, dass dies nur ein "Vorschlag" wäre.

Eheran 29. Jun 2017

Da spricht man einen ganz anderen "Trieb" bei der Zielperson an als bei einer Ransomware...

Eheran 29. Jun 2017

Ja, das kümmert den sogar sehr. Wenn man weiß, dass man es nicht entschlüsselt bekommt...

der_wahre_hannes 29. Jun 2017

So? Wohin "überweisen" die Betroffenen denn das Geld?

Truster 29. Jun 2017

Ich sehe das anders. Sie wollen alles öffnen, müssen es aber noch lange nicht. Wer...



Aktuell auf der Startseite von Golem.de
600 Millionen Euro
Bundeswehr lässt Funkgeräte von 1982 nachbauen

Das SEM 80/90 mit 16 KBit/s wird exakt nachgebaut, zum Stückpreis von rund 20.000 Euro. Das Retrogerät geht für die Bundeswehr in Serie.

600 Millionen Euro: Bundeswehr lässt Funkgeräte von 1982 nachbauen
Artikel
  1. Foundation bei Apple TV+: Die unverfilmbare Asimov-Trilogie grandios verfilmt
    Foundation bei Apple TV+
    Die unverfilmbare Asimov-Trilogie grandios verfilmt

    Gegen die Welt von Asimovs Foundation-Trilogie wirkt Game of Thrones überschaubar. Apple hat mit einem enormen Budget eine enorme Science-Fiction-Serie geschaffen.
    Eine Rezension von Peter Osteried

  2. Pakete: DHL-Preiserhöhung könnte Amazon Prime verteuern
    Pakete
    DHL-Preiserhöhung könnte Amazon Prime verteuern

    DHL Paket erhöht die Preise für Geschäftskunden. Das könnte Auswirkungen auf den Preis von Amazon Prime haben.

  3. Security: Forscher veröffentlicht iOS-Lücken aus Ärger über Apple
    Security
    Forscher veröffentlicht iOS-Lücken aus Ärger über Apple

    Das Bug-Bounty-Programm von Apple ist vielfach kritisiert worden. Ein Forscher veröffentlicht seine Lücken deshalb nun ohne Patch.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung G7 31,5" WQHD 240Hz 499€ • Lenovo-Laptops zu Bestpreisen • 19% auf Sony-TVs bei MM • Samsung SSD 980 Pro 1TB 150,50€ • Dualsense-Ladestation 35,99€ • iPhone 13 erschienen ab 799€ • Sega Discovery Sale bei GP (u. a. Yakuza 0 4,50€) [Werbung]
    •  /