Das Gesetz des nicht beabsichtigten Angriffs – Wer ist durch Petya gefährdet

Originalartikel von Rik Ferguson, VP, Security Research

Der weltweiten WannaCry-Attacke im Mai folgte nun eine neue Angriffswelle mit einer Malware, die auf den ersten Blick wie eine Kopie von WCry aussah. Doch bei näherem Hinsehen steckt mehr dahinter. Es handelt sich nicht lediglich um eine neue Variante einer bereits vorhandenen Ransomware, die sich Verbreitungstechniken von WannaCry leiht.

Der Angriff selbst scheint ursprünglich als gezielte Attacke geplant worden zu sein. Dabei ging es um die Kompromittierung der Update-Infrastruktur der ukrainischen Buchhaltungssoftware MEDoc (auf der Website zugegeben, aber auf MEDocs Facebook kategorisch abgestritten). Der Angriff begann mit einem kleineren Softwareanbieter, dessen Produkt auf Unternehmen zugeschnitten ist, die in der Ukraine Steuern zahlen, und war wohl speziell auf dieses Land ausgerichtet. Doch wie bei vielen anderen gezielten Angriffen auch gab es Kollateralschäden.

Die Tatsache, dass die Schadsoftware auf eine Weise konfiguriert war, fünf Tage zu warten, um am 27. Juni zuzuschlagen, ein Tag vor einem Nationalfeiertag in der Ukraine, erhärtet den Verdacht, dass der Angriff speziell auf Opfer in der Ukraine ausgerichtet war.

Unterbrechung?

Einige der prominenten weltweiten Opfer, WPP, Maersk und Saint-Gobain etwa, haben alle Büros in der Ukraine und nutzen wahrscheinlich MEDoc, einige suchen sogar Mitarbeiter mit entsprechenden Kenntnissen. Auch Rosneft, Russlands staatlicher Ölkonzern und eines der Opfer, hat eine Vertretung in der Ukraine und ist damit möglicherweise auch Nutzer von MEDoc.

Es erweckt den Anschein, als sei dieser Angriff dem Gesetz der unbeabsichtigten Konsequenzen gefolgt mit Opferzahlen, die sich sehr schnell außerhalb der Ukraine erhöhen, sowie Organisationen und deren Partner, die in der Ukraine Geschäfte machen.

Geld?

Die Autoren dieser Schadsoftware haben bestimmt viel Wissen und Erfahrung. Sie leihen sich Code von Petya, verwenden Exploits von WannaCry wieder, fügen Passwort-Hash-Sammlungen hinzu und zwei weitere Netzwerkverbreitungstechniken und nutzen Code-Verschleierung sowie gefälschte Microsoft-Zertifikate. Dass es sich hierbei um ein traditionell monetär motiviertes Online-Verbrechen handelt – zumindest oberflächlich – ist möglich. Doch eines stört diese Vermutung: der Lösegeld-Zahlmechanismus.

Warum verlässt sich der Zahlmechanismus auf ein einziges hart codiertes Bitcoin-Wallet und das Versenden einer Mail, die die Bicoin Wallet-ID und „persönlichen Installationsschlüssel“ des Opfers enthält, an eine Mail-Adresse vom renommierten Berliner Provider Posteo, die sehr schnell abgestellt wird? Es sieht so aus, als ob die Autoren nie die Absicht hatten, aus der Attacke Profit zu schlagen.

Angreifbar?

Alle hoch effizienten Verbreitungsmechanismen sind auf eine schnelle Verteilung in einem internen Netzwerk ausgerichtet. Es scheint keine extern ausgerichtete Kampagne gegeben zu haben, um die Payload auch über die MEDoc-Software hinaus zu verbreiten. Hat ein Unternehmen eine Vertretung in der Ukraine oder Partner, die dort Geschäfte machen, ist diese Firma gefährdet. Außerhalb dieser Gruppe sinkt das Risiko eines Angriffs signifikant, doch eine Garantie lässt sich natürlich nicht geben.

Technische Details zum Angriff und Empfehlungen für Gegenmaßnahmen gibt es unter „Petya (2017) Ransomware Attack Information“ und über die FAQ. Eine technische Analyse liefert der Blog von Trend Micro.

Generellen Rat bezüglich Ransomware und kostenlos erhältliche Entschlüsselungs-Tools finden Interessierte auf nomoreransom.org.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*