![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Es ist schon mehr als 3 Jahre her: Am 27. Juni 2017 startete die weltweite Angriffswelle der Ransomware NotPetya. Die Malware richtete gro\u00dfe Sch\u00e4den an. Welche Lehren konnte man aus dem Vorfall ziehen? David Grout, CTO EMEA beim Sicherheits-Spezialisten FireEye, hatte mir einen Kommentar dazu zukommen lassen. Ich deriviere einfach mal etwas Text f\u00fcr diesen Beitrag. <\/p>\n
<\/p>\n
Erste Berichte kamen damals aus Russland, denn Systeme von Firmen aus Russland und in der Ukraine waren unter den angegriffenen Zielen. Aber die Infektion weitete sich aus. Damals herrschte weltweites Chaos, denn Systeme von Firmen, Banken, und Energieversorgern in Russland, der Ukraine, in Spanien, Frankreich, Gro\u00dfbritannien (Werbefirma WPP), Indien und in weiteren europ\u00e4ischen L\u00e4ndern wurden befallen seien. Einem NDR-Bericht<\/a> nach war die Beiersdorf AG (Nivea) in der Firmenzentrale von der Ransomware betroffen.<\/p>\n Am Ende des Tages stellte sich aber heraus, dass es keine Petya-Ransomware war, sondern dass die Malware unter die Kategorie Wiper fiel. Die Malware verschl\u00fcsselte die Dateien der befallenen Systeme und meldete das auch. Es war aber nie geplant, einen Schl\u00fcssel zum Entschl\u00fcsseln dieser Daten zu ver\u00f6ffentlichen. Ziel der Malware war es, maximalen Schaden anzurichten. Die Malware wurde dann auf NotPetya getauft. <\/p>\n Bitdefender hatte einen fortlaufend aktualisierten Blog-Beitrag<\/a> zum Thema ver\u00f6ffentlicht. Auch von Eset lag mir eine Stellungnahme vor. Zur Verbreitung scheint eine Kombination aus einem SMB Exploit (EternalBlue), wie er auch bei WannaCry zum Einsatz kam, zu verwenden. So verschafft sie sich Zugriff auf das Netzwerk, wo sie sich durch PsExec weiter verbreitet. Diese gef\u00e4hrliche Kombination ist wahrscheinlich der Grund f\u00fcr die schnelle und globale Ausbreitung \u2013 obwohl das mediale Interesse nach vorherigen Ausbr\u00fcchen hoch war und die meisten Sicherheitsl\u00fccken hoffentlich beseitigt wurden. Nur ein einziger ungesicherter Computer reicht aus, damit sich die Ransomware Zutritt zum Netzwerk verschaffen kann. Die Malware kann sich dann Administratoren-Rechte erteilen und andere Computer befallen. <\/p>\n Im R\u00fcckblick geben die Leute von FireEye folgenden Kommentar ab: \"Vor drei Jahren begannen Organisationen auf der ganzen Welt, Sicherheitsvorf\u00e4lle zu melden, ausgel\u00f6st durch die Ransomware NotPetya. Die Ransomware-Kampagne betraf Organisationen in mindestens 65 L\u00e4ndern, insbesondere aber in der Ukraine, die das Hauptziel war. Analysten von Mandiant Threat Intelligence entdeckten sp\u00e4ter eine Verbindung zwischen den Angriffen und der ber\u00fcchtigten, vom russischen Staat unterst\u00fctzten Hackergruppe Sandworm, die seit 2015 mehrere Angriffe mit Wiper-Malwares auf ukrainische Einrichtungen ausgef\u00fchrt hatte. W\u00e4hrend die ersten Angriffe lediglich die Daten der Opfer gel\u00f6scht hatten, verst\u00e4rkte die Hackergruppe 2017 ihre Aktivit\u00e4ten, indem sie Ransomware hinzuf\u00fcgte. NotPetya ver\u00e4nderte die weltweite Wahrnehmung von Ransomware und der potenziell verheerenden Auswirkungen, die sie auf Unternehmen haben kann.<\/p>\n Der NotPetya-Angriff wurde zu einer sich rasch ausbreitenden Bedrohung und stellte einen Pr\u00e4zedenzfall dar: Er zeigte, dass die Sandworm-Gruppe gr\u00f6\u00dfere Kollateralsch\u00e4den \u00fcber die unmittelbaren ukrainischen Ziele hinaus in Kauf nimmt, als sich die Malware weltweit verbreitete. Sandworm ist nach wie vor einer der aktivsten und fortschrittlichsten Cyber-Bedrohungsakteure. Die Gruppe agiert an mehreren Fronten und zu ihren Aktivit\u00e4ten geh\u00f6ren zerst\u00f6rerische Angriffe, Einmischung in demokratische Prozesse und Cyber-Spionage. \" <\/p>\n Was sollten Organisationen aus dem NotPetya-Angriff von 2017 lernen? NotPetya zeigt, laut FireEye, die Relevanz von Widerstandsf\u00e4higkeit, Backup und guter Vorbereitung auf. Au\u00dferdem macht die Attacke deutlich, wie wichtig es ist, die Bedrohungsakteure zu verfolgen und identifizieren zu k\u00f6nnen und ihre Motive zu verstehen. Um die Auswirkungen solcher Angriffe einzud\u00e4mmen, m\u00fcssen in erster Linie Patches f\u00fcr Schwachstellen schnell zur Verf\u00fcgung stehen und heruntergeladen werden. <\/p>\n Gibt es eine bekannte Schwachstelle, werden Akteure diese sehr wahrscheinlich ausnutzen und dabei gro\u00dfen Schaden anrichten, und zwar so lange, bis die L\u00fccke geschlossen ist. Der NotPetya-Angriff h\u00e4tte abgemildert werden k\u00f6nnen, wenn Organisationen die betreffenden Software-Aktualisierungen regelm\u00e4\u00dfig durchgef\u00fchrt und ihre Security sorgf\u00e4ltig gepr\u00fcft h\u00e4tten, insbesondere durch simulierte Cyber-Angriffe. <\/p>\n Allerdings halte ich viele der Aussagen aus dem FireEye-Kommentar f\u00fcr 'Binsen' – nicht falsch, auch bekannt, aber in der Praxis nicht einhaltbar. Denn in meinen Augen ist die IT-Infrastruktur schlicht kaputt. Die st\u00e4ndigen Ransomware-Vorf\u00e4lle der letzten 24 Monate zeigen mir, dass das Patchen und Absichern in der Praxis nicht funktioniert. Wenn ich mal postuliere, dass niemand absichtlich L\u00fccken offen l\u00e4sst oder die gesamte IT weltweit nicht bl\u00f6de ist, bleibt der Schluss: Wir haben einen Zustand erreicht, wo die Sicherheit nicht mehr zu gew\u00e4hrleisten ist. <\/p>\n Der (Zw)Hang zur Cloud, die allgegenw\u00e4rtigen Internet of Things (IoT) Ger\u00e4te ohne Patches, Fehler, die immer wieder passieren, all dies stimmt mich nicht optimistisch, dass 'die Choose mit ein bisschen patchen' erledigt ist. Die Qualit\u00e4t der heutigen Hard- und Software tut ein \u00dcbriges zu diesem Cocktail. Seit zwei Jahren patchen die Chip-Hersteller CPU-Schwachstellen, die durch Seitenkanalangriffe ausnutzbar sind, hinterher. Und dann stellt sich heraus, dass man das alles nicht richtig verstanden hat (siehe den aktuellen Artikel Sicherheitslecks bei Qualcomm, MediaTek, Intel CPUs etc.<\/a>). <\/p>\n Microsofts Windows as a Service (WaaS) hat dazu gef\u00fchrt, dass die Leute vor jedem Patchday zittern und hoffen, dass danach noch alles funktioniert. Wer kann, sperrt die Patches und versucht das Upgrade auf Windows 10 zu vermeiden. Frappierend ist auch, dass mittlerweile oft Jahrzehnte alte Schwachstellen im Code moderner Produkte gefunden werden. Die M\u00e4r vom sicheren, frischen Betriebssystem oder neuer Software, wo weniger Sicherheitsl\u00fccken existieren, hat sich als Fata Morgana entpuppt – die schleppen oft Uralt-Code in den neuen Produkten mit. <\/p>\n Millionen an IoT-Ger\u00e4ten mit schweren Sicherheitsl\u00fccken in der Firmware, die auch nicht mehr geschlossen werden, sind ein weiterer Posten, den es auf dem Radar zu behalten gilt. Meine Meinung: Die ganzen heutigen Trends werden dann kippen, wenn die Kosten, die durch Ransomware-Befall entstehen, wesentlich h\u00f6her sind, als Unternehmensberater an Kosteneinsparungen durch Cloud, Vernetzung und Digitalisierung versprechen. Kann aber noch einige Jahre dauern – bis dahin herrscht 'Vogel Strau\u00df Politik' – wenn ich nichts sehe, passiert auch nichts – und vielleicht trifft es mich ja nicht. Oder wie seht ihr das so? <\/p>\n \u00c4hnliche Artikel:<\/strong> ESET Analyse zu Not Petya\/Diskcoder.C Verbreitung<\/a> <\/p>\n Warnung vor neuem NotPetya-\u00e4hnlichem Cyber-Angriff<\/a> Es ist schon mehr als 3 Jahre her: Am 27. Juni 2017 startete die weltweite Angriffswelle der Ransomware NotPetya. Die Malware richtete gro\u00dfe Sch\u00e4den an. Welche Lehren konnte man aus dem Vorfall ziehen? David Grout, CTO EMEA beim Sicherheits-Spezialisten FireEye, … Weiterlesen Es schlug ein, wie eine Bombe – am 27. Juni 2017 startete eine weltweite Angriffswelle einer Ransomware, die Tausende Computersystem unbrauchbar machte. Ich ging urspr\u00fcnglich von einer neuen Welle zur Verbreitung der Petya-Ransomware aus, wie sich im Artikel Achtung: Petya Ransomware bef\u00e4llt weltweit Systeme<\/a> vom 27. Juni 2017 noch nachlesen l\u00e4sst. <\/p>\n
Der erste Wiper<\/h2>\n
Ungepatchte Systeme erm\u00f6glichen NotPetya<\/h2>\n
Sicht der FireEye-Sicherheitsforscher<\/h2>\n<\/p>\n
Was kann man aus NotPetya lernen?<\/h2>\n<\/p>\n
Von Binsen und einer kaputten IT …<\/h2>\n<\/p>\n
Master-Key der Petya Ransomware freigegeben<\/a>
ESET Analyse zu Not Petya\/Diskcoder.C Verbreitung<\/a>
Neues zu Petya: Zahl der Infektionen, Ziele und mehr \u2026<\/a>
Neues zur Petya Ransomware \u2013 Gegenmittel gefunden?<\/a>
Achtung: Petya Ransomware bef\u00e4llt weltweit Systeme<\/a><\/p>\n
Vage Hoffnung: Verschl\u00fcsselung von NotPetya knackbar<\/a>
Die Folgen des NotPetya-Angriffs f\u00fcr Maersk<\/a>
Briten: Russisches Milit\u00e4r f\u00fcr NotPetya-Angriff verantwortlich<\/a>
Nachtlekt\u00fcre: NotPetya-Infektion bei A.P. M\u00f8ller-Maersk<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"