zurück zur Übersicht

NotPetya – Liebesgrüße aus Moskau?

War NotPetya ein Angriff auf Russland oder die Ukraine? Oder nur eine dilettantische Ransomware?Als die ersten Meldungen über den jüngsten Ransomware-Ausbruch (Petya, PetWrap bzw. NotPetya) am 27.07.2017 bekannt wurden, sah man sich schnell an den Wannacry-Angriff erinnert, der erst vor wenigen Wochen enormen Schaden in vielen Unternehmen verursacht hat. Schnell wurde auch hier der Eternal Blue Exploit, der schon Wannacry als Einfallstor diente, als Verbreitungsweg identifiziert. Die Vermutung lag also nahe, dass hier Cyberkriminelle von der enormen Verbreitung, die Wannacry erreicht hat, auf ihre Art profitieren wollten, um daraus Kapital zu schlagen. Der finanzielle Gewinn von Wannacry hielt sich allerdings in Grenzen.

Bei Artikelerstellung werden die Zahlungen auf die mit Wannacry in Verbindung gebrachten Bitcoin Wallets laut dem Twitter Account @actual_ransom auf 337 Payments im Wert von 51.98076422 BTC ($134,197.44) beziffert. Bei einer Summe von mehr als 500.000 Infektionen ein eher dürftiges Ergebnis. Scheinbar waren die Angreifer damals selbst vom Erfolg ihres Schädlings überrascht worden und konnten ihren Opfern nicht glaubhaft versichern, dass die Daten wiederherstellbar sind. Die Zahlungen blieben aus. Naheliegend also, dass hier jemand auf die Idee kam, es besser machen zu wollen.

NotPetya – Ransomware vs. Wiperware

Doch das Gegenteil scheint hier der Fall zu sein. Ransomware in seiner originären Form ist abhängig vom Vertrauen der Opfer, durch Zahlung des Lösegeldes die Hoheit über die Daten wiedererlangen zu können. Auch wenn dies explizit nicht empfohlen werden kann, weil nie sichergestellt ist, dass die Entschlüsselung tatsächlich klappt, dient diese Annahme vielen Opfern als letzter Griff nach dem bekannten Strohhalm und so manchem als Argument gegen präventive Sicherheitsmaßnahmen. Frei nach dem Motto: „Wenn es mich trifft dann zahl ich notfalls.“

Um das Vertrauen der Opfer sicherzustellen bedarf es einer zuverlässig funktionierenden Implementierung für Ver- und Entschlüsselung der Daten, sowie einer einfach und verlässlich zu nutzenden „Bezahlfunktion“. Die neue Petya-Variante oder NotPetya, wie der Schädling wegen seiner Unterschiede zur urspünglichen Version nun auch genannt wird, hat keines von beiden. Zum einen nutzten die Urheber dieses Verschlüsslungstrojaners ein einziges Bitcoin Wallet als Zahlungsziel. Dies erschwert die Zuordnung der eingegangen Zahlungen und verzögert die Entschlüsselung der Daten. Zum anderen wurde als Kommunikationsmittel zwischen Opfer und Ransomware Operator eine einzige Emailadresse angegeben, die für die Übermittlung des Zahlungsnachweises benutzt werden sollte. Da diese auch noch von einem kommerziellen Email-Provider gehostet wurde, der zwar eine anonyme Bezahlungen seiner Dienste anbietet, diese Art von Publicity aber überhaupt nicht schätzt, war es durchaus absehbar, dass die Mailadresse zeitnah gesperrt wird. So kam es dann auch und damit war keine Kommunikation zum Nachweis der getätigten Zahlungen und damit auch keine Entschlüsselung mehr möglich. Somit ist auch die geringe Zahl der eingegangen Zahlungen – bis dato 45 – wenig verwunderlich.

Auch die gewählte Implementierung der Verschlüsselung gibt Rätsel auf. Während diese bei der Originalvariante von Petya zuverlässig funktionierte und reversibel war, scheint jemand diese bei der aktuellen Version gezielt angepasst zu haben. Das Ergebnis ist ein digitaler Vandalist, ein Wiper, der Daten durch Verschlüsselung zerstört.

Laterale Verbreitung im Turbomodus

Auch die Verbreitungswege unterscheiden sich im Vergleich zu Wannacry. Wurde dort nur der Eternal Blue Exploit gegen SMBv1 zur selbstständigen Verbreitung genutzt, verwendet die neue Petya-Variante NotPetya zusätzlich PsExec und die Windows Management Instrumentation Commandline (WMIC) in Kombination mit gestohlenen Credentials, die nachgeladene Password Dumper auf infizierten Systemen erbeuten, als Verbreitungswege. Auf diesem Weg sind auch Systeme angreifbar, die gegen den Eternal Blue oder Eternal Romance Exploit gepatcht wurden. Werden im Rahmen einer Infektion die Credentials eines Domain Admins erbeutet, kann sich der Schädling wie ein Lauffeuer durch eine ganze Windows Infrastruktur fressen. Offentsichtlich haben die Schöpfer des Schädlings also größten Wert auf ein sehr hohes Zerstörungspotenzial gelegt. Auch die initiale Infektion, die wohl nach aktueller Sachlage mehrheitlich durch die Updatefunktion einer ukrainischen Buchhaltungs-Software erfolgte, deutet daraufhin, dass zwar eine sehr schnelle aber keine wahllose Verbreitung angestrebt wurde.

Ziel des Angriffs unklar

Quelle: securelist.com

Welches Ziel letztlich mit dem Angriff verfolgt wurde, ist weiterhin unklar. Die meisten Infektionen gab es laut securelist.com jedoch mit Abstand in der Ukraine und in der Russischen Förderation. Reiht man alle Indizien aneinander, kann man davon ausgehen, dass es sich hier nicht um einen schlecht gemachten Ransomware-Angriff handelt. Ziel war es wohl letztlich, bei bestimmten Firmen möglichst großen Schaden zu erzeugen. Ob es sich hier um den Einsatz einer Cyberwaffe aus dem Arsenal eines Staates handelt, mit dem mehrheitlich Unternehmen eines anderen Staates angegriffen werden sollten oder der Hersteller der Buchhaltungssoftware in Misskredit gebracht werden sollte, indem seine Kunden geschädigt werden, ist reine Spekulation. Auch wäre es denkbar, dass der ganze Angriff eine Ablenkungsaktion ist, unter deren Deckmantel ganz andere Ziele verfolgt werden.

Defence wins championships

Eines wird jedoch durch NotPetya deutlich: Wer auch immer bisher noch in Betracht gezogen hat, dass im Falle eines Ransomware-Befalls als Ultima Ratio die Zahlung des Lösegeldes in Frage kommt, der wird hier eines besseren belehrt. Wenn pure Zertstörung der Daten das Ziel ist, hilft keine Zahlung. Außerdem sind hier auch Unternehmen betroffen, die weder zur primären Zielgruppe des Angriffs gehörten, noch Versäumnisse beim Patchmanagement zu verantworten haben. Die Erkenntnis wohl ein Kollateralschaden zu sein, hilft ihnen allerdings herzlich wenig, wenn der Großteil der IT-Systeme den Dienst verweigern und der Geschäftsbetrieb massiv gestört wird. Der aus dem Fussball bekannte Ausspruch „Defense wins championships“ hat hier durchaus auch seine Daseinsberechtigung. Jetzt ist es an der Zeit zu handeln und die Verteidigungslinien zu verstärken, um sich mit entsprechenden Strategien und Schutzmaßnahmen gegen zukünftige virtuelle Schädlinge und Angreifer zu rüsten.

 


Bild: ©iT-CUBE SYSTEMS AG 2017

Schreibe einen Kommentar