![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Zum Wochenabschluss noch ein paar Informationen rund um die PetyaWrap (aka NotPetia) Infektionswelle dieser Woche. Wie viele Rechner wurden infiziert? Was war das vermutliche Ziel der Angreifer? Wer steckt dahinter? Einige Hinweise auf diese und weitere Fragen.<\/p>\n
<\/p>\n
Die Anfangsinfektion erfolgte wohl \u00fcber die in der Ukraine zur Anmeldung von Steuern erforderliche Software M.E.Doc (quasi das ukrainische Elster). Wie es ausschaut, ist es gelungen, den Update-Prozess zu kompromittieren (siehe auch diesen Artikel<\/a>, oder ESET-Blog<\/a> und hier<\/a>). Damit waren Rechner, die die Software verwendeten, per Update mit der Ransomware NotPetya infizierbar.<\/p>\n Da eine Reihe Firmen mit Gesch\u00e4ftsverbindungen in die Ukraine diese Software verwenden, kam es zu entsprechenden Infektionen. Zudem scheint ein Angriff \u00fcber ein sogenanntes Watering Hole (Wasserloch) in Form einer kompromittierten Webseite einige Infektionen verursacht zu haben. Der Effekt zur Verbreitung au\u00dferhalt der Ukraine und Russland d\u00fcrfte gering gewesen sein, da es eine in kyrillisch gehaltene Webseite war.<\/p>\n Sobald der Erpressungstrojaner eine Maschine infiziert hatte, konnte er \u00fcber diverse Angriffswege weitere Rechner im Netzwerk der Unternehmen befallen. Einige Hinweise hatte ich im Blog-Beitrag Neues zur Petya Ransomware \u2013 Gegenmittel gefunden?<\/a> zusammen getragen.<\/p>\n Als die Infektionswelle rollte, war die erste Annahme aus Sicherheitskreisen, dass die Urheber es auf die Erpressung von Firmen und das Einsammeln von L\u00f6segeld ging. Dann wurde aber bekannt, dass der Weg f\u00fcr Opfer, L\u00f6segeld zu zahlen, sehr fehleranf\u00e4llig und nicht automatisiert war. Weiterhin sperrte der deutsche Provider Posteo die E-Mail-Adresse, \u00fcber die Opfer mit den Urhebern h\u00e4tten kommunizieren k\u00f6nnen. Die L\u00f6segeldsumme, die gezahlt wurde, war daher l\u00e4cherlich gering.<\/p>\n Das brachte schnell die Vermutung auf, dass die Ransomware-Geschichte nur eine Tarnung gewesen ist. Vielmehr herrscht zwischenzeitlich Konsens, dass NotPetya als Cyber-Waffe darauf ausgerichtet war, m\u00f6glichst viel Schaden anzurichten. Prim\u00e4res Angriffsziel war die Ukraine, dass andere L\u00e4nder betroffen sein k\u00f6nnten, scheint als Kollateralschaden einkalkuliert worden zu sein.<\/p>\n In diesem Artikel<\/a> von The Hacker News findet sich der Hinweis, dass die modifzierte Ransomware-Variante (im Gegensatz zu Petya) keine Kopie der Master File Table (MFT) speichert. Sicherheitsforscher, die den Code analysierten, merken an, dass der Code ziemlich zusammen geschustert und fehlerhaft sei (siehe z.B. Matt Suiche<\/a>) und best\u00e4tigen, dass keine Restaurierung befallener Rechner durch einen Schl\u00fcssel m\u00f6glich sei (siehe auch<\/a> und hier<\/a>). Daher macht auch das hier berichtete<\/a> Angebot, des anonymen Entwicklers der Original Petya-Ransomware, den Opfern von NotPetya zu helfen, wenig Sinn.<\/p>\n Zwischenzeitlich sind verschiedene Theorien im Umlauf: Eine besagt, dass russische Hacker, m\u00f6glicherweise im staatlichen Umfeld, aktiv waren (siehe auch), um der Ukraine zu schaden. Genannt wird die russische Hackergruppe Telebots (siehe ESET-Blog<\/a>). Denn so manche Sicherheitsforscher wunderten sich, dass russische Firmen zwar von der Infektion betroffen waren, aber die Systeme sehr einfach restauriert werden konnten, w\u00e4hrend infizierte Rechner in anderen L\u00e4ndern massive Betriebsunterbrechungen nach sich zogen. Bei heise.de habe ich hier<\/a> die zweite Theorie vernommen, dass es m\u00f6glicherweise doch ein Erpressungstrojaner gewesen sei, der aber so schlampig programmiert wurde, dass Bugs den Erfolg bez\u00fcglich L\u00f6segeldforderungen von vorne herein verhinderten.<\/p>\n Eine interessante Information kommt von Microsoft. Die bekommen durch die Telemetriedienste von Windows \u2013 speziell beim Defender \u2013 Infektionen gemeldet. In einem Blog-Beitrag<\/a> vom 29. Juni 2017 gab Microsoft einige Ergebnisse bekannt.<\/p>\n Die Zahl von weniger als 20.000 infizierten Systemen findet sich in diesem Artikel \u2013 im Microsoft-Blog-Beitrag ist diese Zahl aktuell nicht angegeben.<\/p>\n Im Blog-Beitrag besch\u00e4ftigt sich Microsoft damit, wie man mit neueren Techniken in Windows 10 den Angriff abgewehrt habe. So verhinderte der Credential Guard das Auslesen von Zugangsdaten f\u00fcr andere Netzwerkressourcen.<\/p>\n In diesem Artikel<\/a> wird noch ein Test-Tool angegeben, mit dem man seine Rechner auf Verwundbarkeit durch den NSA ETERNALBLUE Exploit \u00fcberpr\u00fcfen kann. Das Tool wurde vom Sicherheitsforscher Elad Erez entwickelt und ist auf seiner Webseite<\/a> beschrieben bzw. kostenlos herunterladbar.<\/p>\n Ich habe das Tool mal kurz unter die Lupe genommen. Als erstes f\u00e4llt auf, dass der Download von einer ungesicherten Webseite. Eine Pr\u00fcfung durch Virenscanner ergab aber keine Bedenken. Das Tool ben\u00f6tigt keine administrativen Rechte zur Ausf\u00fchrung und l\u00e4uft ohne Installation. Allerdings hinterl\u00e4sst es einen merkw\u00fcrdigen Eindruck. Mein System wird mit einem Eintrag als Vulnerable markiert. \u00dcber die IP-Adresse habe ich dann gesehen, dass es die Maschine war, auf der das Tool ausgef\u00fchrt wurde. Ich tippe darauf, dass die administrativen Freigaben der Grund des \u00dcbels sind.<\/p>\n Ein zweiter Test mit dem im Blog-Beitrag WannaCry & Co.: EternalBlue Vulnerability Checker und Crysis Ransomware Decryptor<\/a> aufgef\u00fchrte Checker von ESET ergab, dass die Maschine voll gepatcht und nicht angreifbar sei. Zudem best\u00e4tigt Bleeping Computer hier<\/a>, dass das Eternal Blues-Tool anonymisierte Daten sammelt und weitergibt. Das Tool sollte also, wenn \u00fcberhaupt, mit Vorbehalt eingesetzt werden.<\/p>\n","protected":false},"excerpt":{"rendered":" Zum Wochenabschluss noch ein paar Informationen rund um die PetyaWrap (aka NotPetia) Infektionswelle dieser Woche. Wie viele Rechner wurden infiziert? Was war das vermutliche Ziel der Angreifer? Wer steckt dahinter? Einige Hinweise auf diese und weitere Fragen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161,301],"tags":[4935,4715,4325],"class_list":["post-191927","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","category-windows","tag-petya","tag-ransomware","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/191927","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=191927"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/191927\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=191927"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=191927"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=191927"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Diese Woche hatte ich ja recht zeitnah \u00fcber den Ransomware-Angriff mit einem Erpressungstrojaner berichtet (siehe Achtung: Petya Ransomware bef\u00e4llt weltweit Systeme<\/a>). Dieser gab sich als neue Variante von Petya, auch als NotPetya oder PetyaWrap bezeichnet, aus. Befallene Rechner wurden unbrauchbar gemacht und es gab die Aufforderung zur L\u00f6segeldzahlung, um den Rechner wieder flott zu bekommen.<\/p>\n
Infektionswege weitgehend bekannt<\/h2>\n
Was war das Ziel der Angreifer?<\/h2>\n
Nur 20.000 Rechner, meist mit Windows 7 infiziert<\/h2>\n
\n
![\"Petya](\"https:\/\/web.archive.org\/web\/20170630115533\/https:\/\/msdnshared.blob.core.windows.net\/media\/2017\/06\/01-petya-geographic-distribution1.png\" "\\"Petya")
<\/a>
\n(Infektionen mit Petya \u2013 Quelle Microsoft)<\/p>\n\"Eternal Blues\" Test-Tool<\/h2>\n
![\"Eternal](\"http:\/\/i.imgur.com\/dRGRrfP.jpg\" "\\"Eternal")
<\/p>\n