Es ist schon mehr als 3 Jahre her: Am 27. Juni 2017 startete die weltweite Angriffswelle der Ransomware NotPetya. Die Malware richtete große Schäden an. Welche Lehren konnte man aus dem Vorfall ziehen? David Grout, CTO EMEA beim Sicherheits-Spezialisten FireEye, hatte mir einen Kommentar dazu zukommen lassen. Ich deriviere einfach mal etwas Text für diesen Beitrag.
Anzeige
Es schlug ein, wie eine Bombe – am 27. Juni 2017 startete eine weltweite Angriffswelle einer Ransomware, die Tausende Computersystem unbrauchbar machte. Ich ging ursprünglich von einer neuen Welle zur Verbreitung der Petya-Ransomware aus, wie sich im Artikel Achtung: Petya Ransomware befällt weltweit Systeme vom 27. Juni 2017 noch nachlesen lässt.
Der erste Wiper
Erste Berichte kamen damals aus Russland, denn Systeme von Firmen aus Russland und in der Ukraine waren unter den angegriffenen Zielen. Aber die Infektion weitete sich aus. Damals herrschte weltweites Chaos, denn Systeme von Firmen, Banken, und Energieversorgern in Russland, der Ukraine, in Spanien, Frankreich, Großbritannien (Werbefirma WPP), Indien und in weiteren europäischen Ländern wurden befallen seien. Einem NDR-Bericht nach war die Beiersdorf AG (Nivea) in der Firmenzentrale von der Ransomware betroffen.
Am Ende des Tages stellte sich aber heraus, dass es keine Petya-Ransomware war, sondern dass die Malware unter die Kategorie Wiper fiel. Die Malware verschlüsselte die Dateien der befallenen Systeme und meldete das auch. Es war aber nie geplant, einen Schlüssel zum Entschlüsseln dieser Daten zu veröffentlichen. Ziel der Malware war es, maximalen Schaden anzurichten. Die Malware wurde dann auf NotPetya getauft.
Ungepatchte Systeme ermöglichen NotPetya
Bitdefender hatte einen fortlaufend aktualisierten Blog-Beitrag zum Thema veröffentlicht. Auch von Eset lag mir eine Stellungnahme vor. Zur Verbreitung scheint eine Kombination aus einem SMB Exploit (EternalBlue), wie er auch bei WannaCry zum Einsatz kam, zu verwenden. So verschafft sie sich Zugriff auf das Netzwerk, wo sie sich durch PsExec weiter verbreitet. Diese gefährliche Kombination ist wahrscheinlich der Grund für die schnelle und globale Ausbreitung – obwohl das mediale Interesse nach vorherigen Ausbrüchen hoch war und die meisten Sicherheitslücken hoffentlich beseitigt wurden. Nur ein einziger ungesicherter Computer reicht aus, damit sich die Ransomware Zutritt zum Netzwerk verschaffen kann. Die Malware kann sich dann Administratoren-Rechte erteilen und andere Computer befallen.
Anzeige
Sicht der FireEye-Sicherheitsforscher
Im Rückblick geben die Leute von FireEye folgenden Kommentar ab: "Vor drei Jahren begannen Organisationen auf der ganzen Welt, Sicherheitsvorfälle zu melden, ausgelöst durch die Ransomware NotPetya. Die Ransomware-Kampagne betraf Organisationen in mindestens 65 Ländern, insbesondere aber in der Ukraine, die das Hauptziel war. Analysten von Mandiant Threat Intelligence entdeckten später eine Verbindung zwischen den Angriffen und der berüchtigten, vom russischen Staat unterstützten Hackergruppe Sandworm, die seit 2015 mehrere Angriffe mit Wiper-Malwares auf ukrainische Einrichtungen ausgeführt hatte. Während die ersten Angriffe lediglich die Daten der Opfer gelöscht hatten, verstärkte die Hackergruppe 2017 ihre Aktivitäten, indem sie Ransomware hinzufügte. NotPetya veränderte die weltweite Wahrnehmung von Ransomware und der potenziell verheerenden Auswirkungen, die sie auf Unternehmen haben kann.
Der NotPetya-Angriff wurde zu einer sich rasch ausbreitenden Bedrohung und stellte einen Präzedenzfall dar: Er zeigte, dass die Sandworm-Gruppe größere Kollateralschäden über die unmittelbaren ukrainischen Ziele hinaus in Kauf nimmt, als sich die Malware weltweit verbreitete. Sandworm ist nach wie vor einer der aktivsten und fortschrittlichsten Cyber-Bedrohungsakteure. Die Gruppe agiert an mehreren Fronten und zu ihren Aktivitäten gehören zerstörerische Angriffe, Einmischung in demokratische Prozesse und Cyber-Spionage. "
Was kann man aus NotPetya lernen?
Was sollten Organisationen aus dem NotPetya-Angriff von 2017 lernen? NotPetya zeigt, laut FireEye, die Relevanz von Widerstandsfähigkeit, Backup und guter Vorbereitung auf. Außerdem macht die Attacke deutlich, wie wichtig es ist, die Bedrohungsakteure zu verfolgen und identifizieren zu können und ihre Motive zu verstehen. Um die Auswirkungen solcher Angriffe einzudämmen, müssen in erster Linie Patches für Schwachstellen schnell zur Verfügung stehen und heruntergeladen werden.
Gibt es eine bekannte Schwachstelle, werden Akteure diese sehr wahrscheinlich ausnutzen und dabei großen Schaden anrichten, und zwar so lange, bis die Lücke geschlossen ist. Der NotPetya-Angriff hätte abgemildert werden können, wenn Organisationen die betreffenden Software-Aktualisierungen regelmäßig durchgeführt und ihre Security sorgfältig geprüft hätten, insbesondere durch simulierte Cyber-Angriffe.
Von Binsen und einer kaputten IT …
Allerdings halte ich viele der Aussagen aus dem FireEye-Kommentar für 'Binsen' – nicht falsch, auch bekannt, aber in der Praxis nicht einhaltbar. Denn in meinen Augen ist die IT-Infrastruktur schlicht kaputt. Die ständigen Ransomware-Vorfälle der letzten 24 Monate zeigen mir, dass das Patchen und Absichern in der Praxis nicht funktioniert. Wenn ich mal postuliere, dass niemand absichtlich Lücken offen lässt oder die gesamte IT weltweit nicht blöde ist, bleibt der Schluss: Wir haben einen Zustand erreicht, wo die Sicherheit nicht mehr zu gewährleisten ist.
Der (Zw)Hang zur Cloud, die allgegenwärtigen Internet of Things (IoT) Geräte ohne Patches, Fehler, die immer wieder passieren, all dies stimmt mich nicht optimistisch, dass 'die Choose mit ein bisschen patchen' erledigt ist. Die Qualität der heutigen Hard- und Software tut ein Übriges zu diesem Cocktail. Seit zwei Jahren patchen die Chip-Hersteller CPU-Schwachstellen, die durch Seitenkanalangriffe ausnutzbar sind, hinterher. Und dann stellt sich heraus, dass man das alles nicht richtig verstanden hat (siehe den aktuellen Artikel Sicherheitslecks bei Qualcomm, MediaTek, Intel CPUs etc.).
Microsofts Windows as a Service (WaaS) hat dazu geführt, dass die Leute vor jedem Patchday zittern und hoffen, dass danach noch alles funktioniert. Wer kann, sperrt die Patches und versucht das Upgrade auf Windows 10 zu vermeiden. Frappierend ist auch, dass mittlerweile oft Jahrzehnte alte Schwachstellen im Code moderner Produkte gefunden werden. Die Mär vom sicheren, frischen Betriebssystem oder neuer Software, wo weniger Sicherheitslücken existieren, hat sich als Fata Morgana entpuppt – die schleppen oft Uralt-Code in den neuen Produkten mit.
Millionen an IoT-Geräten mit schweren Sicherheitslücken in der Firmware, die auch nicht mehr geschlossen werden, sind ein weiterer Posten, den es auf dem Radar zu behalten gilt. Meine Meinung: Die ganzen heutigen Trends werden dann kippen, wenn die Kosten, die durch Ransomware-Befall entstehen, wesentlich höher sind, als Unternehmensberater an Kosteneinsparungen durch Cloud, Vernetzung und Digitalisierung versprechen. Kann aber noch einige Jahre dauern – bis dahin herrscht 'Vogel Strauß Politik' – wenn ich nichts sehe, passiert auch nichts – und vielleicht trifft es mich ja nicht. Oder wie seht ihr das so?
Ähnliche Artikel:
Master-Key der Petya Ransomware freigegeben
ESET Analyse zu Not Petya/Diskcoder.C Verbreitung
Neues zu Petya: Zahl der Infektionen, Ziele und mehr …
Neues zur Petya Ransomware – Gegenmittel gefunden?
Achtung: Petya Ransomware befällt weltweit Systeme
ESET Analyse zu Not Petya/Diskcoder.C Verbreitung
Warnung vor neuem NotPetya-ähnlichem Cyber-Angriff
Vage Hoffnung: Verschlüsselung von NotPetya knackbar
Die Folgen des NotPetya-Angriffs für Maersk
Briten: Russisches Militär für NotPetya-Angriff verantwortlich
Nachtlektüre: NotPetya-Infektion bei A.P. Møller-Maersk
Anzeige
Leider muss ich Herrn Born in allen Punkten recht geben und auch ich frage mich nach jedem Patchday, ob alles noch funktioniert. Schlimm ist dabei, dass die Entwicklung in Richtung Vernetzung weiter forciert wird, so auch im Gesundheitswesen mit Datenübertragung an die Krankenkassen oder eine zentrale elektronische Patientenakte, ePA, wo alle Diagnosen, Befunde und Behandlungsberichte zentral gespeichert werden sollte. Vor einigen Wochen fiel die Telematik im Gesundheitswesen wegen eines Fehlers über mehrere Wochen aus:
https://www.heise.de/news/Analyse-Warum-80-000-Arztpraxen-ihre-Verbindung-zur-Telematik-verloren-4842866.html
Jetzt war dies nicht so schlimm, da derzeit nur der Versichertenstammdatenabgleich über die Telematik erfolgt. Im geplanten Vollbetrieb wäre dies eine Katastrophe geworden. Hier sieht man, wie fragil das System ist.
Irgendwann wird der Speicher mit der elektronischen Gesundheitsakte erfolgreich angegriffen werden und sensible Gesundheitsdaten werden veröffentlicht. Und die Betroffenen können sich nicht mehr wehren. Gesundheitsdaten sind besonders sensibel, weil diese über die Lebenszeit des Betroffenen unverändert sind und bei Erbkrankheiten sogar über Generationen nicht an Bedeutung verlieren.
Danke für diesen sehr interessanten Bericht. Und auch von mir 100 % Zustimmung! Übrigens auch für meinen Vorschreiber (Psychodoc) Sehe ich alles auch so. Die monatliche Patchday-Horror-Orgie ging ja schon bei Win 7 so richtig los… Aber Win 10 stellt das alles ja noch ordentlich in den Schatten… Als die ganze Cloud-Geschichte los ging, hatte ich schon damals gesagt, dass das nicht sehr lange gut gehen kann. Schlimm auch diese ständige Nötigung, alles auf's Schlauphone speichern zu müssen und vor allem, möglichst demnächst alles auch noch darüber abzuwickeln: Banking, bezahlen, Kfz öffnen/starten, Versicherungsverträge managen (lassen), Krankenakte (s. o.!), Authentifizierungsvorgänge (…) Und alles immer schneller, schneller und angeblich besser und vor allem sicherer… Wer's glaubt, ist selbst schuld! Bestes Beispiel aktuell ist 5 G. 4 G funktioniert noch nicht mal flächendeckend ordentlich (ja vielerorts noch nicht mal 3 G) da wird schon wieder ohne ordentliches Konzept an 5 G rumgemurkst… Aber wie immer "Digitalisierung first… bla, bla, blaaa…" – natürlich ohne vorher das Hirn einzuschalten und auch mal etwas weiter in die Zukunft zu denken, bzgl. evtl. negativer Auswirkungen und Zusammenhänge.
Sehr gut auf den Punkt gebracht!
Vor geraumer Zeit sprachen wir in unserem Umfeld vom Bermuda-Dreieck zwischen Hardware-, Treiber- und Betriebssystem-Hersteller, wo jeder "nicht unser Bier, fragen sie den Nächsten" etwaige Verantwortung von sich geschoben hat.
Auf höherer Ebene haben wir es mit ähnlichen Dementi zu tun. Die eigentlichen Verwalter, bzw. neudeutsch Manager zucken mit den Schultern und verweisen auf Lieferanten und Dienstleister. Diese wiederum auf Hersteller oder Vertragsklauseln untereinander mit "Wir würden ja, aber Lieferant, Management, Budget, Verträge…".
Unternehmerisches agieren ist unmodern geworden, Verwalten im gesetzten Rahmen, auch wenn es mit Vollgas auf dem Eisberg zugeht ist angesagt. Könnte scheppern, aber wir haben gemäß Vorgaben gehandelt.