Wie auch von WannaCry wird eine alte SMB Lücke von Windows genutzt

Nur sechs Wochen nach dem weltweiten #WannaCry Cyberangriff hat es am Dienstag eine ähnliche großangelegte Attacke gegeben.
Zahlreiche Unternehmen berichteten von massiven Computerproblemen durch Schadsoftware, betroffen waren zunächst vor allem die Ukraine und Russland.

Opfer waren etwa der größte russische Ölkonzern Rosneft, der internationale Flughafen der Ukraine und die weltgrößte Reederei A.P. Moller-Maersk mit Sitz in Dänemark. Auch betroffen waren die Deutsche Post und Metro, deren IT-Systeme in der Ukraine attackiert wurden.

Die Fachleute ziehen Parallelen zu dem Angriff mit dem Schadprogramm „WannaCry“, der Mitte Mai rund um den Globus Computer lahmgelegt hatte. Dies hatte unter anderem in britischen Krankenhäusern und Arztpraxen zu erheblichen Behinderungen geführt. Das IT-Sicherheitsunternehmen Group IB mit Sitz in Moskau erklärte, wie damals hätten sich die Hacker eines Instruments bedient, das ursprünglich der US-Geheimdienst NSA entwickelt habe und diesem entwendet worden sei.

Nach Auskunft von Experten verschiedener Firmen handelt es sich nun um die Erpresser-Software #Petya. Sie setze Computer außer Gefecht, indem sie deren Festplatten verschlüsselt werden. Zugang erhielten die Geschädigten erst wieder nach Zahlung eines Lösegeldes. Das ukrainische Medienunternehmen Channel 24 gab bekannt, seine Rechner seien blockiert. Die Hacker verlangten 300 Dollar in der Cyberwährung Bitcoin.

„Das ist dasselbe Vorgehen wie bei #WannaCry“, sagte Forschungsvorstand Mikko Hypponen von der IT-Sicherheitsfirma F-Secure. „Nichts hält Petya derzeit auf. Es könnte die USA ziemlich übel erwischen.“ Der US-Pharmariese Merck & Co berichtete, sein Computernetzwerk sei durch die weltweite Attacke beeinträchtigt worden.

„AUF KEINEN FALL LÖSEGELD ZAHLEN“

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigte, dass auch deutsche Unternehmen betroffen seien. Es rief heimische Firmen und Institutionen dazu auf, IT-Sicherheitsvorfälle beim BSI zu melden. „Betroffene Unternehmen sollten nicht auf Lösegeldforderungen eingehen“, warnte die Behörde.

Zunächst hatte es vor allem in der Ukraine und Russland Meldungen über Probleme gegeben. Der ukrainische Ministerpräsident Wolodymyr Goysman sprach von einem „beispiellosen“ Angriff auf sein Land. Das Computersystem der Regierung brach zusammen. Betroffen waren ferner Banken, Telekom, Post, ein Stromnetzbetreiber und der internationale Flughafen der Hauptstadt Kiew, der Flugverzögerungen nicht ausschloss. Ein Berater des Innenministeriums sagte, der Virus sei durch gefälschte E-Mails (Phishing) auf die Rechner gelangt.

In Russland meldete neben Rosneft der Metallkonzern Evraz einen Cyberangriff. Rosnefts Firmenwebseite fiel für mindestens zwei Stunden aus. Die Ölproduktion war aber nach Unternehmensangaben nicht betroffen. Auch der französische Baustoffkonzern Saint Gobain und der britische Werberiese WPP bezeichneten sich als Opfer einer Hackerattacke. Der Schweizer Nahrungsmittelkonzern Mondelez International gab technische Probleme in verschiedenen Regionen bekannt. Unklar war in diesen Fällen, ob dieselbe Verschlüsselungssoftware dafür verantwortlich war.

Der Hersteller von Sicherheitssoftware McAfee informiert, dass die folgenden Dateitypen von der Verschlüsselung betroffen seien:

3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip

Zudem wird das SMB Protokoll als Verbreitungsweg bestätigt, es gibt jedoch Hinweise darauf, dass auch RDP (Remote Desktop Protokoll) als Verbreitungsweg genutzt wird.

Nach der Infektion wird ein Hinweis angezeigt, dass das System neu gebootet werden muss. Nach dem Reboot ist kein Zugriff mehr möglich.

Der Erfolg dieses Verbreitungswegs ist auf die Vielzahl von IT-Systemen ohne Sicherheitsaktualisierungen zurückzuführen. MTS bietet neben IT-Lösungen mit einem zuverlässigen Schutz vor der Schadsoftware auch Managed Service Verträge für die Sicherheitaktualisierung ihrer IT-Systeme an.

Update 28.06.2017

Das E-Mail Postfach wurde zwischenzeitlich gesperrt, sodass keine Kontaktaufnahme zu den Erpressern mehr möglich ist.

Update 29.06.2017

Neuesten Erkenntnissen zufolge ist der Trojaner offensichtlich nicht auf Erpressung aus. Es werden Daten scheinbar gelöscht statt verschlüsselt. Mit der Abschaltung des E-Mail Kontos ist die Zahlung von Lösegeld sinnlos geworden. Es sind bis Mittwoch Mittag auch nur 45 Zahlungen eingegangen. Der Trojaner zielt offenbar darauf ab, Chaos zu stiften. Laut den Sicherheitsexperten von Kaspersky und Symantec tarnt sich der Trojaner nur als Petya, lösche dann aber die ersten Sektoren statt die Daten zu verschlüsseln.

Dieser Umstand legt nahe, dass hier politische Ziele der Beweggrund für die Attacke waren. Bislang sind ca. 18000 Infektionen in über 60 Ländern bekannt, vorrangig wurden allerdings Ziele in der Ukraine angegriffen.

Der initiale Verbreitungsweg war scheinbar eine Manipulation an der automatischen Updatefunktion einer Buchhaltungssoftware aus der Ukraine. Die Ausbreitung erfolgte auch nicht breit gefächert wie bei #WannaCry, sondern nur beim direkten Kontakt zweier Netzwerke. Daher verbreitete sich der Trojaner viel langsamer als #WannaCry. Innerhalb des Netzwerks nutzt der Trojaner aber scheinbar eine weitere Sicherheitslücke für die Verbreitung a