/Tech

Petya-Ransomware nutzt selbe Sicherheitslücke wie WannaCry

Marlene Ronstedt, WIRED Editorial 27.06.2017

Eine Ransomware mit dem Namen Petya oder auch Petrwap hat seit Dienstagnachmittag mehrere tausend Computer infiziert. Die Malware verschlüsselt Nutzerdaten und gibt diese angeblich gegen 300 Dollar Lösegeld wieder frei. Experten glauben allerdings, dass es sich bei Petya um keine „echte“ Ransomware handelt.

Betroffen sind bisher Firmen aus der EU, Russland und der Ukraine, wo die ersten Infektionen zu beobachten waren. Auch deutsche Firmen sollen sich infiziert haben, darunter der Beiersdorf-Konzern. Besondere Aufmerksamkeit kam in Medienberichten den Infektionen der dänischen Reederei AP Moller-Maersk sowie dem internationalen Lebensmittelkonzern Mondelez und einem Krankenhausbetreiber aus Pittsburgh zu. Auch die Rechner des Atomkraftwerks in Tschernobyl wurden verschlüsselt. Dort mussten Radioaktivitätsmessungen auf manuell umgestellt werden.

Das Ausmaß der Infektionen nimmt ähnliche Züge an wie die WannaCry-Attacke im Mai. Die Ransomware nahm damals Computer-Netzwerke der Bahn und des britischen National Health Service in Geiselhaft. Sicherheitsexperten haben mittlerweile herausgefunden, dass Petya unter anderem die selbe Sicherheitslücke (EternalBlue) wie WannaCry als Angriffsvektor verwendet. Dieser Sicherheits-Exploit wurde ursprünglich von der NSA entwickelt, um Zugriff auf Windows-Computer zu erhalten. Die dazu nötige Software war vergangenen Sommer von der Hacker-Gruppe Shadow Brokers geleakt worden.

Mittlerweile wird weltweit dazu aufgerufen, das geforderte Lösegeld in Höhe von 300 Dollar zu verweigern, das an ein anonymes Bitcoin-Konto überwiesen werden soll. Der deutsche E-Mail-Provider Posteo hat die Adresse, an die das Lösegeld-überwiesen werden soll, bereits abgeschaltet.

So sehen die Bildschirme der infizierten Computer aus

Es ist es nicht das erste Mal, dass Petrwap zuschlägt. Laut Alan Woodward, einem Sicherheitsexperten der Universität Surrey kam Petya schon Anfang des Jahres zum Einsatz, wie die BBC berichtet. Experten von Kaspersky dagegen vermuten, dass es sich um eine gänzlich neue Malware handelt.

Während es zu Beginn so aussah, als handele es sich bei Petya um eine Malware mit kriminellem Hintergrund, sind Experten von dieser Einschätzung wieder abgerückt. Laut Medienberichten sind die Bezahlmechanismen der Malware zu oberflächlich aufgesetzt, um einem Verbrecher dahinter eine sichere Bezahlung zu garantieren.

Jedes Opfer bekommt die selbe Bitcoin-Adresse, normalerweise läuft das bei Ransomware-Attacken anders ab. Außerdem ist es unüblich, dass nur eine E-Mail-Adresse für die Bezahlung existiert. Unter Experten setzt sich deshalb mittlerweile der Glaube durch, dass Petya in Wirklichkeit keine richtige Erpresser-Malware ist, sondern gezielt als IT-Waffe eingesetzt wird.

Es sei mehr als auffällig, dass die Ukraine zum Hauptziel geworden sei, sagt auch Alex McGeorge von Immunity Inc. gegenüber Business Insider. Seine Firma ist auf staatliches Hacking spezialisiert. Die Ukraine war in der Vergangenheit immer wieder Test-Ziel für russische Netzwerk-Angriffe. McGeorge hat auch diesmal den Kreml im Verdacht. Sicher ist das nicht. Ebenfalls auffällig ist aber, dass ein weiterer Angriffsvektor von Petya konkret auf den Update-Mechanismus einer ukrainischen Software abzielt.

Noch bevor es zum WannaCry Angriff im Mai kam, hatte Windows kostenlose Sicherheits-Updates herausgegeben, die Nutzer davor schützen sollten. Allerdings nicht für ältere Windows-Versionen. Nach dem WannaCry-Angriff hatte Windows dann jedoch auch kostenlose Updates für ältere Versionen zur Verfügung gestellt. Ob die jetzt betroffenen Firmen es versäumt haben, ihre Netzwerke auf die neuesten Sicherheitsstandards abzudaten, ist noch offen. Veraltete Sicherheitsmaßnahmen könnten allerdings der Grund sein, weswegen die Malware die Computer überhaupt angreifen konnte.

Jetzt WIRED Member werden und mit uns in die Zukunft starten!

Mit im Paket: 4 Magazin-Ausgaben im Jahr und der Member-Zugang zu exklusiven Inhalten auf WIRED.de sowie weitere Vorteile nur für Member.

Member werden