Mission Datenzerstörung: Malware “NotPetya” attackiert Unternehmen weltweit

Keine Kommentare
 

Mitte Mai dieses Jahres wurden zahlreiche global agierende Firmen, aber auch Behörden und öffentliche Einrichtungen Opfer eines massiven Angriffs durch die Ransomware “WannaCry”. Auch andere Vertreter der Erpresser-Spezies wie etwa GoldenEye, Mischa oder Petya sorgten in den vergangenen Monaten immer wieder für Systemausfälle und Datenverluste. Seit Ende Juni erregt nun eine neue, auf den Namen “NotPetya” getaufte Bedrohung weltweites Aufsehen. Anders als ihrem Namensvetter Petya geht es dieser Malware jedoch nicht um Profit, sondern um pure Zerstörung.


 

Geschredertes Papier

Mission Datenzerstörung: Malware “NotPetya” attackiert Unternehmen weltweit (AlexanderStein / Pixabay.com

Als “globalen Ransomware-Vorfall” bezeichnete die britische Behörde für Cyber-Sicherheit die erste Angriffswelle durch den neuen Schädling. Zu den ersten Opfern, die um den 27. Juni herum “Hacker-Angriffe” auf ihre Server meldeten, zählten in erster Linie ukrainische und russische Unternehmen. Betroffen waren unter anderem die ukrainische Nationalbank, der Flughafen Kiew-Boryspil, eine Überwachungseinrichtung des Atomkraftwerks Tschernobyl sowie der Mineralölkonzern Rosneft. Doch auch Unternehmen aus anderen Ländern meldeten umfangreiche Systemausfälle – so beispielsweise der US-Pharmakonzern Merck sowie die Hamburger Zentrale von Beiersdorf.

Steuersoftware-Updates als Infektionsquelle

Die Frage nach dem Verbreitungsweg von NotPetya konnte zunächst nicht eindeutig beantwortet werden. Spekulationen betrafen unter anderem die als “EternalBlue” bekannte Windows-Sicherheitslücke, die zuvor bereits von den WannaCry-Machern ausgenutzt worden war. Schließlich fiel mehreren Sicherheitsexperten allerdings auf, dass auf zahlreichen infizierten Systemen die – vor allem in ukrainischen Unternehmen verbreitete – Steuersoftware MeDoc installiert war.

Wie eine Analyse des AV-Herstellers ESET bald darauf zeigte, erwies sich diese Gemeinsamkeit als heiße Spur. Demnach verschafften sich die NotPetya-Macher Zugang zu den MeDoc-Servern, um NotPetya über die Update-Funktion der Steuersoftware auf die Systeme zu schleusen. Konkret nutzten sie dazu eine etwa 5 MB große (legitime) Programmbibliothek, um dem MeDoc-Code eine Backdoor-Funktion hinzuzufügen. Diese ermöglichte ihnen einerseits das Nachladen von NotPetya; andererseits konnten sie auch gezielt Informationen über das Zielsystem sammeln, um ihr weiteres Vorgehen zu planen.

NotPetya: keine Ransomware, sondern ein “Wiper”

Eine NotPetya-Infektion äußert sich durch die Anzeige eines Sperrbildschirms samt Lösegeldforderung, die weitestgehend von der Ransomware Petya übernommen wurde. AV-Hersteller Kaspersky kam in einer Analyse dennoch zu dem Schluss, dass es sich in Wirklichkeit um eine ganz neue Malware-Familie handelt. Besonders auffallend an NotPetya ist die vergleichsweise nachlässige Programmierung Die Ransomware stürzt nach dem Verschlüsselungsvorgang häufig ab. Überdies stellten die Kriminellen nur eine einzige E-Mail-Adresse bereit, über die Betroffene Instruktionen zur Datenrettung einholen konnten. Diese wiederum wurde vom betreffenden Provider innerhalb kürzester Zeit gesperrt.

Mittlerweile legen weitere Analysen nahe, dass die Beweggründe der NotPetya-Macher nicht finanzieller Natur sind. Vielmehr scheint es ihnen – unter dem Deckmantel der aktuell so populären Ransomware-Angriffe – um die Vernichtung von Daten und das Stiften von Chaos zu gehen. Dafür spricht unter anderem, dass NotPetya Teile des Master Boot Record unwiederbringlich überschreibt und auf das Generieren eindeutiger IDs im Rahmen der Verschlüsselungsroutine verzichtet. NotPetya ist somit keine echte Ransomware, sondern vielmehr ein so genannter “Wiper”. Der ukrainische Geheimdienst vermutet, dass es sich um eine von Russland initiierte, politisch motivierte Angriffswelle handelt.

Über Browser Security

Browser Security ist Ihr Browser-Add-on zum Schutz vor Phishing-Domains und gefährlichen Malware-Angriffen. Vertrauen Sie unserer Live-Protection und der E-Mail-Kontrolle für ein bedenkenloses Surf-Erlebnis und schützen Sie sich effektiv vor Datenklau!

 
Keine Kommentare

Kommentar hinterlassen