Petya oder NotPetya: Was ist es?

Petya oder NotPetya: Was ist es?

28.06.2017 – 18:18 Uhr

Malware-Attacke in der Ukraine, Tschernobyl betroffen: Zerstörungstrojaner NotPetya tarnt sich als Kryptotrojaner und nutzt selbe Sicherheitslücke wie von der NSA entdeckte Backdoor EternalBlue.

Seit den frühen Abendstunden am Montag ist der Nachfolger von WannaCry im Umlauf: Petya bzw. NotPetya. Der vermeintliche Erpressungstrojaner nutzt die gleiche Sicherheitslücke wie Ransomware WannaCry im Mai diesen Jahres. Bei WannaCry waren ausschließlich Windows-Betriebssysteme angreifbar, die seit Bekanntwerden der Sicherheitslücke keine Updates erhalten hatten. Zerstörungstrojaner NotPetya nutzt abgesehen vom EternalBlue Exploit noch andere Möglichkeiten, sich in angegriffenen Systemen zu verbreiten. Vermutet wird eine Tarnung als gängiges Administrationswerkzeug, eine Abwandlung des Tools Mimikatz, so dass der Trojaner nach Infizierung eines Rechners auch andere Geräte im System befallen kann. Auch PCs mit aktualisierten Betriebssystemen sind so angreifbar.

Die erste Petya-Welle fand bereits im Jahr 2016 statt. In Abgrenzung zu den Cyberattacken im vergangenen Jahr sprechen Security Researcher daher bei den aktuellen Angriffen von „NotPetya“. Ihnen zufolge ist der Trojaner, der besonders stark in der Ukraine wütet, keine Variante der im letzten Jahr verwendeten Erpressungssoftware. Andere Namen für den Schadtrojaner sind PetyaWrapper oder ExPetr.

Ursprung der Ransomware

Sicherheitsforscher verdächtigen das Programm M.E.Doc, in der Ukraine wird die Software für Zusammenarbeit mit der Regierung genutzt. Dies würde erklären, warum auch große Konzerne vom NotPetya betroffen waren. Die Hersteller von M.E.Doc weisen eine Mitschuld an den Angriffen allerdings zurück. Der Schaden ist nichtsdestotrotz immens: Der vermeintliche Verschlüsselungstrojaner hat weltweit große Konzerne betroffen. Besonders von Medien aufgegriffen wurde hierbei das Atomkraftwerk Tschernobyl, das auf Grund der Attacken die Radioaktivität manuell messen musste. Außerdem Opfer der Angriffe waren Banken, Flughäfen, Eisenbahn und andere staatliche Organisationen. Für Schlagzeilen sorgte auch der russische Ölkonzern Rosneft, Auswirkungen hatten die Angriffe laut eigenen Angaben des Unternehmens aber nicht. Ebenfalls betroffen war der Hersteller von Milka-Schokolade, Lebensmittelkonzern Mondelez. Auch Angriffe in Russland, Deutschland, Frankreich, Großbritannien, Italien, Polen und den USA wurden registriert.
Wie WannaCry nutzt NotPetya die NSA-Sicherheitslücke EternalBlue, die bereits Anfang des Jahres vom anonymen Kollektiv „The Shadow Brokers“ entdeckt und veröffentlicht wurde. Die NSA hatte Informationen über die entdeckte Backdoor zurückgehalten, um sie für Spähangriffe nutzen zu können.

Mangelhafte Umsetzung auf Seiten der Cyberkriminellen

Besonders auffällig war die unprofessionelle Umsetzung von NotPetya. So gab der Trojaner vor, wie bei WannaCry die Daten des Nutzers zu verschlüsseln, um sie gegen Zahlung von Lösegeld wieder freizugeben. Petya bzw. NotPetya verlangte 300$ in Bitcoins von den Opfern. Anschließend sollten Betroffene die E-Mail Adresse wowsmith123456@posteo.net kontaktieren, um Informationen zur Entschlüsselung ihrer Daten zu erhalten. Die E-Mail Adresse wurde allerdings zeitnah von Posteo gesperrt, so dass die Cyberkriminellen keinen Zugriff auf das Postfach hatten und die Daten nicht wieder hätten entschlüsseln können. Die Einnahmen durch erpresste Bitcoins werden bisher lediglich auf 8000€ geschätzt – womöglich hat das Bekanntwerden der Sperrung viele Betroffene davon abgehalten, den Betrag zu zahlen.

Ransomware oder Wiper?

Nach den Angriffen stellten Security Researcher fest, dass es nicht möglich ist, die von NotPetya verursachten Schäden zu reparieren. Anstatt einer Verschlüsselung fand ein Auslöschen der Daten statt. Sicherheitsforscher sprechen deshalb von einer Ähnlichkeit mit dem Diskwiper Shamoon. Die Lösegeld-Forderung war somit nur ein Ablenkungsmanöver, um die tatsächliche Absicht von NotPetya zu verschleiern. Ein mögliches Motiv könnte die Zerstörung von wichtigen Infrastrukturen sein, einzelne Security Forscher vermuten daher eine von staatlichen Akteuren unterstützte Hackergruppe hinter den Angriffen.

patronus.io CEO Matthias sprach mit n-tv über die neuen Petya Angriffe

Haben Sie Fragen?

Wir sind für Sie da!

+49 (30) 555 748 596

Kontakt