BL0G

Home / Blog

NotPetya, ExPetr, DiskCoder – ein Update

von Stephan Gärtner

Berlin, 16. Juli 2017. In den Nachmittagsstunden des 27. Juni 2017 verbreiteten die ersten Agenturen Meldungen über Cyberangriffe, auch auf deutsche Unternehmen. Erst Tage später stand zur Überraschung mancher fest, dass es sich nicht um den Erpressungstrojaner Petya handelt, sodass die Angriffswelle schnell neue Namen erhielt, wie etwa NotPetya. Die STANHOPE Partnerschaft von Rechtsanwälten veröffentlicht in Kooperation mit dem Beratungshaus StanhopeONE ein Update mit aktuellen Hinweisen.

Der Verlauf

Um den Verlauf der Angriffswelle zu verstehen, muss man zunächst die Funktionsweise von NotPetya betrachten. Mehrere Agenturen berichten, dass der Ausgangspunkt der Angriffswelle möglicherweise die ukrainische Steuersoftware MeDoc war. Denn anders als bei früheren Cyberangriffen gelangte NotPetya nicht über Dateianhänge an die Unternehmen, sondern über den Update-Mechanismus der Software MeDoc. heise online berichtet, dass mindestens drei trojanisierte Versionen solcher Updates verteilt wurden; nämlich am 14. April, 15. Mai und am 22. Juni 2017.

Am 27. Juni 2017 überschlugen sich dann die Meldungen. Zahlreiche Unternehmen, v.a. aus der Ukraine und Russland, aber auch aus Westeuropa meldeten, dass sie Opfer der Angriffe sind. Zunächst hatte es den Anschein, dass es sich wieder um einen Erpressungstrojaner handele. Manche berichteten von einem erneuten Angriff des Erpressungstrojaners Petya.

Doch schon wenige Tage später kam der Verdacht auf, dass es sich anstattdessen um einen sog. "Wiper" handelt. Denn die übliche Lösegeldforderung schien zumindest hier lediglich eine Ablenkung zu sein. Denn selbst bei Bezahlung des Lösungsgeldes war es den NotPetya-Autoren wohl gar nicht möglich, die Verschlüsselung rückgängig zu machen. Dieser Umstand legt nah, dass es v.a. darum ging, Chaos zu stiften und Schaden zu verursachen.

Aktuelle Lage und ein (kleiner Lichtblick)

Niemand möchte wirklich Entwarnung geben. Das BSI warnt vor der trügerischen Sicherheit in Unternehmen, die bislang noch keine Angriffe bemerkt hätten. Denn mit Blick auf die oben beschriebenen trojanisierten Versionen von MeDoc-Updates, ist die Gefahr noch immer gegenwärtig. Auch Backups, die nach dem 13.04.2017 angelegt wurden, sind potentiell gefährdet.

Mittlerweile gibt es sogar einen kleinen Lichtblick für die betroffenen Unternehmen. Zwar hilft das Bekanntwerden des Masterschlüssels für die Erpressungstrojaners der sog. Goldeneye-Trojanerfamilie den Opfern von NotPetya aufgrund der bekannten Unterschiede nicht weiter. In ganz bestimmten Konstellationen, so berichtet heise online, könnten Fehler der NotPetya-Autoren deren Verschlüsselung aber angreifbar machen. Das ist zweifellos eine Option, aber kein Allheilmittel.

Hinweise des BSI

Das Bundesamt für Sicherheit in der Informationstechnik rät zu folgenden Schritten:

(1) auf M.E.Doc Software angewiesene Unternehmen sollten Computersysteme, auf denen diese Software installiert ist, in separierten Netzbereichen kapseln, verstärkt überwachen und sowohl diese als auch von dort erreichbare Systeme auf zusätzliche, möglicherweise bereits stattgefundene Kompromittierungen untersuchen.

(2) Auf infizierten Rechnern sollten alle Passwörter geändert werden

(3) infizierte Rechner sollten idealerweise neu aufgesetzt werden

(4) Umsetzung einer Netzwerksegmentierung

(5) Erstellen und Vorhalten von Daten-Sicherungen (Backups)

(6) Überprüfung der Administratorenrechte:

(6.1) Lokale Administratoren sollten sich nicht über das interne Netz einloggen können

(6.2) Lokale Administratoren dürfen auf unterschiedlichen Rechnern nicht das gleiche Passwort haben

(6.3) Idealerweise sollte der lokale Administrator deaktiviert sein

(7) Einspielen aktueller Patches für Software und Betriebssysteme, insbesondere des Microsoft-Patches MS17-010

(8) Aktualisierung der eingesetzten Antiviren-Programme

Hierbei sollten externe und sachkundige IT-Fachkräfte eingesetzt werden.

 

Verantwortlicher Partner: Dr. Stephan Gärtner,
beachten Sie auch unser Impressum.

Zurück