28.06.2017 Kommentar: Petya folgt auf Wanna Cry

Nächste Ransomware-Attacke läuft

Von: Ina Schlücker

Schon wieder treibt ein Erpressungs-Trojaner, neudeutsch Ransomware, sein Unwesen. Nach den Wanna-Cry-Attacken im Mai, legt „Petya“ seit gestern europaweit die IT von Unternehmen und öffentlichen Einrichtungen lahm.

Erpressungs-Trojaner „Petya“

Seit gestern legt der Erpressungs-Trojaner „Petya“ die IT verschiedener Unternehmen und Behörden lahm.

Dabei arbeitet der Verschlüsselungstrojaner Petya in altbekannter Manier: Unbemerkt wird der Trojaner ins Behörden- oder Firmennetzwerk eingeschleust, wo er die Verschlüsselung von Daten vornimmt. Erst nach der Zahlung von 300 US-Dollar in Form der Kryptowährung Bitcoin sollen die Daten wieder freigegeben werden. Der geforderte Betrag klingt geradezu lächerlich niedrig, wären von den angeblich betroffenen globalen Konzernen wie Maersk, Mondelez oder Beiersdorf doch sicherlich Summen in ganz anderer Dimension erpressbar.

Dieser Umstand lässt vermuten, dass es den Angreifern weniger um finanzielle Gewinne als vielmehr um das Erregen von Aufmerksamkeit oder um reine Machtdemonstration geht. Auch ist der Gedanke nicht völlig abwegig, die kurz aufeinanderfolgenden Ransomware-Attacken quasi als Testläufe vor einem „großen Knall“ anzusehen, bei dem in konzertierten Hacker-Aktionen europaweit z.B. sämtliche Energieinfrastrukturen oder die Finanzmärkte in die Knie gezwungen werden könnten. Oder, man will vor dem am 7. und 8. Juli 2017 in Hamburg anstehenden G20-Gipfel den wichtigsten Staatsoberhäuptern dieser Welt zeigen, dass sich keiner in allzu großer (IT-)Sicherheit wiegen kann.

Kein Wunder, dass IT-Security-Anbieter wie F-Secure explizit darauf verweisen, dass die aktuelle Kampagne deutlich professioneller durchgeführt wird als frühere Aktionen, weshalb wohl auch mit schlimmeren Auswirkungen für die Firmen zu rechnen ist.

Windows-Systeme immer patchen

Wie bei Wanna Cry wird auch bei der jüngsten Ransomware-Attacke eine Schwachstelle namens „Eternal Blue“ in älteren Windows-Betriebssystemen ausgenutzt, die Unternehmen, Behörden oder Privatnutzer – entweder aus Schlamperei oder aus Unwissenheit – noch nicht geschlossen haben.

Eigenen Angaben zufolge verzeichnete Avast allein gestern rund 12.000 Angriffe auf diesen Exploit. Höchst kritisch wird das Ganze dadurch, so der Anbieter, dass ein in der vergangenen Woche durchgeführter Netzwerk-Scan zeigte, dass weltweit 38 Millionen (38.000.000!) PCs an dieser Stelle verwundbar seien. Dabei dürfte die eigentliche Anzahl möglicher verwundbarer Rechner noch um einiges höher sein.

Bei der aktuellen Ransomware Petya, die sich wie ein Wurm verhält und verbreitet, nutzen die Angreifer einen Pyramidenansatz. „Dabei verschlüsseln sie die Boot-Sektion der Rechner, und eben nicht nur die Dateien. Dies macht den Angriff besonders heimtückisch“, betont Gérard Bauer, Vice President bei Vectra Networks.

Um sich vor solchen Angriffen künftig zu schützen, sollten neue Patches und Updates stets eingespielt werden, um die eigenen Systeme immer auf dem neuesten Stand zu halten. Vor diesem Hintergrund rät der Sicherheitsanbieter Palo Alto Networks den Nutzern von Windows-Systemen zu folgenden Schritten:

  • Installation der Security-Updates MS17-010
  • Eingehende Verbindungen über den TCP-Port 445 blockieren
  • Aktuelle Backups anlegen und diese vor dem Zugriff der Angreifer schützen.

Bei Petya handelt es sich um eine Ransomware-Familie, die laut Palo Alto Networks den Master Boot Record (MBR) von Windows-Systemen modifiziert und somit einen Systemcrash verursacht. Wenn die Nutzer dann die Systeme neustarten, sorge der modifizierte MBR dafür, das Windows nicht mehr bootet, sondern stattdessen auf dem Monitor das „Erpresserschreiben“ der Cyber-Kriminellen anzeigt, die ein Lösegeld für das gehackte System und dessen verschlüsselte Daten fordern. In die Hände fiel den Angreifern dieses Werkzeug durch die Veröffentlichungen der Shadow-Broker-Gruppe im April 2017, die bis dato geheime „Cyber-Waffen“ der US-Geheimdienste an die Öffentlichkeit brachte.

Ein Video zeigt, wie die Petya-Infektion abläuft und was das Opfer sieht: https://youtu.be/y6XJXVxYWMA
 

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH