{"id":200214,"date":"2018-01-28T06:17:04","date_gmt":"2018-01-28T05:17:04","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=200214"},"modified":"2018-04-04T09:23:23","modified_gmt":"2018-04-04T07:23:23","slug":"die-folgen-des-notpetya-angriffs-fr-maersk","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/01\/28\/die-folgen-des-notpetya-angriffs-fr-maersk\/","title":{"rendered":"Die Folgen des NotPetya-Angriffs f&uuml;r Maersk"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>Welche Folgen ein Ransomware-Angriff f\u00fcr Unternehmen und deren IT-Abteilung haben kann, hat sich bei der weltweit operierenden d\u00e4nischen Firma AP Moller-Maersk gezeigt.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/9d433d2fedab4a90803142c570c1aaee\" alt=\"\" width=\"1\" height=\"1\" \/>Im Sommer 2017 w\u00fctete die Ransomware NotPetya in der Industrie. Die vor allem in der Ukraine verbreitete Buchhaltungssoftware M.E.Doc wurde als Ursprung der Attacke identifiziert. Die Hacker zeigen tiefes Verst\u00e4ndnis des verwendeten Programms und planten ihren Angriff zum Einschleusen der Backdoor in M.E.Doc sorgf\u00e4ltig. Um die Sicherheitsl\u00fccke in das Programm einzuschleusen, m\u00fcssen sie sich Zugriff zum Quellcode des Programms verschafft und sich ausf\u00fchrlich mit ihm befasst haben. Hier einer der fr\u00fchen Tweets zum Angriff.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">Huge Global <a href=\"https:\/\/twitter.com\/hashtag\/CyberAttack?src=hash&amp;ref_src=twsrc%5Etfw\">#CyberAttack<\/a> \/ <a href=\"https:\/\/twitter.com\/hashtag\/Ransomware?src=hash&amp;ref_src=twsrc%5Etfw\">#Ransomware<\/a> spreading right now. Its a <a href=\"https:\/\/twitter.com\/hashtag\/Petya?src=hash&amp;ref_src=twsrc%5Etfw\">#Petya<\/a> variant that spreads through SMB and <a href=\"https:\/\/twitter.com\/hashtag\/EternalBlue?src=hash&amp;ref_src=twsrc%5Etfw\">#EternalBlue<\/a> exploit. <a href=\"https:\/\/t.co\/fjP60jS6p9\">pic.twitter.com\/fjP60jS6p9<\/a><\/p>\n<p>\u2014 George Argyrakis (@gargyrakis) <a href=\"https:\/\/twitter.com\/gargyrakis\/status\/879720118493818880?ref_src=twsrc%5Etfw\">27. Juni 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Ich hatte mehrere Blog-Beitr\u00e4ge zum Thema verfasst, siehe <a href=\"https:\/\/borncity.com\/blog\/2017\/06\/27\/achtung-petya-ransomware-befllt-weltweit-system\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> und die Linkliste am Artikelende.<\/p>\n<h2>Riesige Sch\u00e4den durch Wiper-Ransomware<\/h2>\n<p>Die Cyberattacke der Ransomware NotPetya hat zwar nur gut 20.000 Systeme betroffen (siehe <a href=\"https:\/\/borncity.com\/blog\/2017\/07\/01\/neues-zu-petya-zahl-der-infektionen-ziele-und-mehr\/\">Neues zu Petya: Zahl der Infektionen, Ziele und mehr \u2026<\/a>). Aber die Ransomware war als Wiper konzipiert: Dateien wurden \u00fcberschrieben, und lie\u00dfen sich nicht mehr restaurieren. Die Sch\u00e4den waren teilweise gigantisch.<\/p>\n<ul>\n<li>So kam der Hafenbetrieb in Bombay (Mumbai) in Indien f\u00fcr einen Tag wohl komplett zum Stillstand. Hintergrund ist wohl, dass die d\u00e4nische Firma AP Moller-Maersk, die von der Attacke besonders betroffen war, das Terminal am Hafen betreibt. Details finden sich <a href=\"http:\/\/www.hindustantimes.com\/india-news\/cyber-attack-malware-hits-jawaharlal-nehru-port-operations-in-mumbai\/story-xGtbHwvZI4bX5RgJCUBN3L.html\" target=\"_blank\" rel=\"noopener\">hier<\/a>.<\/li>\n<li>Einem <a href=\"https:\/\/twitter.com\/Maersk\/status\/882338519301201921\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> der Firma AP Moller-Maersk ist zu entnehmen, dass man immer noch daran arbeitet, die Sch\u00e4den zu beheben.<\/li>\n<li>Beim Hersteller Mondelez steht seit einer Woche die Produktion von Milka-Schokolade still, wie der Tagesspiegel <a href=\"http:\/\/www.tagesspiegel.de\/wirtschaft\/wegen-erpressersoftware-petya-milka-fabrik-steht-seit-einer-woche-still\/20013388.html\" target=\"_blank\" rel=\"noopener\">hier<\/a> berichtet.<\/li>\n<li>Der Reinigungsmittelhersteller Reckitt Benckiser (Sagrotan etc.) verzeichnet durch Ausfall von Systemen einen Umsatzr\u00fcckgang f\u00fcr das zweite Quartal, wie heise.de <a href=\"https:\/\/www.heise.de\/newsticker\/meldung\/Cyber-Attacke-NotPetya-Spuerbarer-Umsatzrueckgang-fuer-Reckitt-Benckiser-3765253.html\" target=\"_blank\" rel=\"noopener\">hier berichtet<\/a>.<\/li>\n<\/ul>\n<p>Inzwischen scheint klar, dass die Ransomware geschrieben wurde, um der Ukraine zu schaden.<\/p>\n<h2>Was es f\u00fcr die IT von Maesk bedeutet<\/h2>\n<p>Maersk-Vorsitzender Jim Hagemann Snabe hat auf dem Weltwirtschaftsforum in Davos die Erfahrungen des Unternehmens mit diesem Angriff beschrieben. \"Ich werde den 27. Juni nie vergessen, ich wurde um vier Uhr morgens geweckt.\", so der Manager. Dann nennt er Kenndaten.<\/p>\n<ul>\n<li>Maesk transportiert 20% des Welthandels in seinen Schiffscontainern. Nach dem Angriff musste die Firma 10 Tage lang analog arbeiten und die Transporte verwalten. Denn alle f\u00fcnfzehn Minuten erreicht eines der Meask-Schiffe mit zehn- bis zwanzigtausend Containern einen Hafen irgendwo auf der Welt.<\/li>\n<li>Die IT musste 45.000 Client-Rechner und 4.000 Server neu aufsetzen, wobei die System weltweit verteilt und teilweise an unzug\u00e4nglichen Orten stationiert waren.<\/li>\n<li>Weiterhin waren 2.500 verschiedene Programme auf diesen Systemen neu zu installieren und einzurichten.<\/li>\n<\/ul>\n<p>Dies d\u00fcrfte die IT an ihre Grenzen gebracht haben. Die in englisch gehaltenen Ausschnitte der Diskussionsrunde sind in <a href=\"https:\/\/youtu.be\/Tqe3K3D7TnI\" target=\"_blank\" rel=\"noopener\">diesem YouTube-Video<\/a> zu sehen. Ein deutschsprachiger Artikel mit weiteren Details findet sich z.B. <a href=\"https:\/\/www.heise.de\/newsticker\/meldung\/Nach-NotPetya-Angriff-Weltkonzern-Maersk-arbeitete-zehn-Tage-lang-analog-3952112.html\" target=\"_blank\" rel=\"noopener\">bei heise.de<\/a>.<\/p>\n<p>Ich sage es mal so: Wenn die Industrie und die Firmen nicht bald aufwachen, wird das Ganze fr\u00fcher oder sp\u00e4ter in einem Crash enden. Eine immer weiter gehende Vernetzung, noch gr\u00f6\u00dfere Abh\u00e4ngigkeit von IT, Cloud &amp; Co., sowie qualitativ schlechter werdende Software erh\u00f6hen das Risiko f\u00fcr erfolgreiche Angriffe und bauen ein riesiges Schadpotential auf.<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2017\/06\/27\/achtung-petya-ransomware-befllt-weltweit-system\/\">Achtung: Petya Ransomware bef\u00e4llt weltweit Systeme<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/07\/06\/eset-analyse-zu-not-petyadiskcoder-c-verbreitung\/\">ESET Analyse zu Not Petya\/Diskcoder.C Verbreitung<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/10\/16\/warnung-vor-neuem-notpetya-hnlichem-cyber-angriff\/\">Warnung vor neuem NotPetya-\u00e4hnlichem Cyber-Angriff<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/06\/28\/neues-zur-petya-ransomware-killswitch-gefunden\/\">Neues zur Petya Ransomware \u2013 Killswitch gefunden?<\/a><\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2017\/05\/13\/ransomware-wannacry-befllt-tausende-computer-weltweit\/\">Ransomware WannaCry bef\u00e4llt tausende Computer weltweit<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/05\/21\/malwarebytes-analyse-wie-sich-wannycryp-verbreitete\/\">Malwarebytes-Analyse: Wie sich WannaCry verbreitete<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/05\/13\/wannacrypt-updates-fr-windows-xp-server-2003-co\/\">WannaCrypt: Updates f\u00fcr Windows XP, Server 2003 &amp; Co.<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/05\/20\/wannycry-meist-ungepatchte-windows7-systeme-befallen\/\">WannaCry: Meist ungepatchte Windows 7 Systeme befallen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/05\/22\/wannycry-verschlsselte-daten-per-recovery-retten\/\">WannaCry: Verschl\u00fcsselte Daten per Recovery retten?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/06\/08\/wannycry-analysen-windows-10-port-daten-recovery\/\">WannaCry: Analysen, Windows 10-Port, Daten-Recovery \u2026<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/09\/30\/wannacry-infektionen-bei-daimler\/\">WannaCry-Infektionen bei Daimler?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Welche Folgen ein Ransomware-Angriff f\u00fcr Unternehmen und deren IT-Abteilung haben kann, hat sich bei der weltweit operierenden d\u00e4nischen Firma AP Moller-Maersk gezeigt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4715,4328],"class_list":["post-200214","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/200214","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=200214"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/200214\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=200214"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=200214"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=200214"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}