Neues zu Petya: Zahl der Infektionen, Ziele und mehr …

Zum Wochenabschluss noch ein paar Informationen rund um die PetyaWrap (aka NotPetia) Infektionswelle dieser Woche. Wie viele Rechner wurden infiziert? Was war das vermutliche Ziel der Angreifer? Wer steckt dahinter? Einige Hinweise auf diese und weitere Fragen.


Anzeige

Diese Woche hatte ich ja recht zeitnah über den Ransomware-Angriff mit einem Erpressungstrojaner berichtet (siehe Achtung: Petya Ransomware befällt weltweit Systeme). Dieser gab sich als neue Variante von Petya, auch als NotPetya oder PetyaWrap bezeichnet, aus. Befallene Rechner wurden unbrauchbar gemacht und es gab die Aufforderung zur Lösegeldzahlung, um den Rechner wieder flott zu bekommen.

Infektionswege weitgehend bekannt

Die Anfangsinfektion erfolgte wohl über die in der Ukraine zur Anmeldung von Steuern erforderliche Software M.E.Doc (quasi das ukrainische Elster). Wie es ausschaut, ist es gelungen, den Update-Prozess zu kompromittieren (siehe auch diesen Artikel, oder ESET-Blog und hier). Damit waren Rechner, die die Software verwendeten, per Update mit der Ransomware NotPetya infizierbar.

Da eine Reihe Firmen mit Geschäftsverbindungen in die Ukraine diese Software verwenden, kam es zu entsprechenden Infektionen. Zudem scheint ein Angriff über ein sogenanntes Watering Hole (Wasserloch) in Form einer kompromittierten Webseite einige Infektionen verursacht zu haben. Der Effekt zur Verbreitung außerhalt der Ukraine und Russland dürfte gering gewesen sein, da es eine in kyrillisch gehaltene Webseite war.

Sobald der Erpressungstrojaner eine Maschine infiziert hatte, konnte er über diverse Angriffswege weitere Rechner im Netzwerk der Unternehmen befallen. Einige Hinweise hatte ich im Blog-Beitrag Neues zur Petya Ransomware – Gegenmittel gefunden? zusammen getragen.


Anzeige

Was war das Ziel der Angreifer?

Als die Infektionswelle rollte, war die erste Annahme aus Sicherheitskreisen, dass die Urheber es auf die Erpressung von Firmen und das Einsammeln von Lösegeld ging. Dann wurde aber bekannt, dass der Weg für Opfer, Lösegeld zu zahlen, sehr fehleranfällig und nicht automatisiert war. Weiterhin sperrte der deutsche Provider Posteo die E-Mail-Adresse, über die Opfer mit den Urhebern hätten kommunizieren können. Die Lösegeldsumme, die gezahlt wurde, war daher lächerlich gering.

Das brachte schnell die Vermutung auf, dass die Ransomware-Geschichte nur eine Tarnung gewesen ist. Vielmehr herrscht zwischenzeitlich Konsens, dass NotPetya als Cyber-Waffe darauf ausgerichtet war, möglichst viel Schaden anzurichten. Primäres Angriffsziel war die Ukraine, dass andere Länder betroffen sein könnten, scheint als Kollateralschaden einkalkuliert worden zu sein.

In diesem Artikel von The Hacker News findet sich der Hinweis, dass die modifzierte Ransomware-Variante (im Gegensatz zu Petya) keine Kopie der Master File Table (MFT) speichert. Sicherheitsforscher, die den Code analysierten, merken an, dass der Code ziemlich zusammen geschustert und fehlerhaft sei (siehe z.B. Matt Suiche) und bestätigen, dass keine Restaurierung befallener Rechner durch einen Schlüssel möglich sei (siehe auch und hier). Daher macht auch das hier berichtete Angebot, des anonymen Entwicklers der Original Petya-Ransomware, den Opfern von NotPetya zu helfen, wenig Sinn.

Zwischenzeitlich sind verschiedene Theorien im Umlauf: Eine besagt, dass russische Hacker, möglicherweise im staatlichen Umfeld, aktiv waren (siehe auch), um der Ukraine zu schaden. Genannt wird die russische Hackergruppe Telebots (siehe ESET-Blog). Denn so manche Sicherheitsforscher wunderten sich, dass russische Firmen zwar von der Infektion betroffen waren, aber die Systeme sehr einfach restauriert werden konnten, während infizierte Rechner in anderen Ländern massive Betriebsunterbrechungen nach sich zogen. Bei heise.de habe ich hier die zweite Theorie vernommen, dass es möglicherweise doch ein Erpressungstrojaner gewesen sei, der aber so schlampig programmiert wurde, dass Bugs den Erfolg bezüglich Lösegeldforderungen von vorne herein verhinderten.

Nur 20.000 Rechner, meist mit Windows 7 infiziert

Eine interessante Information kommt von Microsoft. Die bekommen durch die Telemetriedienste von Windows – speziell beim Defender – Infektionen gemeldet. In einem Blog-Beitrag vom 29. Juni 2017 gab Microsoft einige Ergebnisse bekannt.

  • Der Angriff begann in der Ukraine, mehr als 70% der Infektionen waren dort zu verzeichnen.
  • Infektionen in anderen Ländern erreichten wesentlich weniger Rechner.
  • Die Mehrzahl der infizierten Rechner lief unter Windows 7, wobei weniger als 20.000 Systeme infiziert waren.

Die Zahl von weniger als 20.000 infizierten Systemen findet sich in diesem Artikel – im Microsoft-Blog-Beitrag ist diese Zahl aktuell nicht angegeben.

Petya Infektionen
(Infektionen mit Petya – Quelle Microsoft)

Im Blog-Beitrag beschäftigt sich Microsoft damit, wie man mit neueren Techniken in Windows 10 den Angriff abgewehrt habe. So verhinderte der Credential Guard das Auslesen von Zugangsdaten für andere Netzwerkressourcen.

"Eternal Blues" Test-Tool

In diesem Artikel wird noch ein Test-Tool angegeben, mit dem man seine Rechner auf Verwundbarkeit durch den NSA ETERNALBLUE Exploit überprüfen kann. Das Tool wurde vom Sicherheitsforscher Elad Erez entwickelt und ist auf seiner Webseite beschrieben bzw. kostenlos herunterladbar.

Eternal Blues Test Tool

Ich habe das Tool mal kurz unter die Lupe genommen. Als erstes fällt auf, dass der Download von einer ungesicherten Webseite. Eine Prüfung durch Virenscanner ergab aber keine Bedenken. Das Tool benötigt keine administrativen Rechte zur Ausführung und läuft ohne Installation. Allerdings hinterlässt es einen merkwürdigen Eindruck. Mein System wird mit einem Eintrag als Vulnerable markiert. Über die IP-Adresse habe ich dann gesehen, dass es die Maschine war, auf der das Tool ausgeführt wurde. Ich tippe darauf, dass die administrativen Freigaben der Grund des Übels sind.

Ein zweiter Test mit dem im Blog-Beitrag WannaCry & Co.: EternalBlue Vulnerability Checker und Crysis Ransomware Decryptor aufgeführte Checker von ESET ergab, dass die Maschine voll gepatcht und nicht angreifbar sei. Zudem bestätigt Bleeping Computer hier, dass das Eternal Blues-Tool anonymisierte Daten sammelt und weitergibt. Das Tool sollte also, wenn überhaupt, mit Vorbehalt eingesetzt werden.


Anzeige

Dieser Beitrag wurde unter Sicherheit, Virenschutz, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Neues zu Petya: Zahl der Infektionen, Ziele und mehr …

  1. Frank Bell sagt:

    Das ESET-Tool meldet bei mir (Windows 8.1, 64bit):

    Checking your system for CVE-2017-0144 vulnerability.
    Failed to get version of 'C:\Windows\system32\Drivers\srv.sys'.
    We are unable to tell if your computer is vulnerable.

    :-(

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.