Petya & NotPetya

Petya und NotPetya sind Ransomware-Stämme, die Microsoft-Windows-basierte Computer infizieren. Wie andere Formen von Ransomware verschlüsselt Petya wie auch NotPetya Daten auf infizierten Systemen. Die Daten werden erst freigeschaltet, wenn das Opfer den Verschlüsselungscode eingibt, in der Regel, nachdem es dem Angreifer dafür ein Lösegeld gezahlt hat. NotPetya ist eine Weiterentwicklung von Petya, die sich 2017 weltweit verbreitete.

Obwohl er schon 2016 entdeckt wurde, machte der Verschlüsselungstrojaner Petya erst 2017 Schlagzeilen, als eine neue Variante – NotPetya – bei einem massiven Cyberangriff gegen ukrainische Ziele eingesetzt wurde. Sie verbreitete sich schnell weltweit, lähmte Unternehmen und verursachte Schäden in Höhe von mehr als 10 Milliarden Dollar.^[1]

Diese neue Variante, die wegen wesentlicher Unterschiede zum Original auch „NotPetya“ genannt wird, verbreitete sich unter Verwendung eines als EternalBlue bekannten Exploits. Der Exploit wurde von der US-Behörde für nationale Sicherheit (NSA) entwickelt und später von Cyberkriminellen gestohlen. Sobald sich EternalBlue auf einem kompromittierten System befindet, nutzt es eine Schwachstelle in Windows-Netzwerkprotokollen aus, um sich lautlos über die Netzwerke zu verbreiten. Im Gegensatz zu den meisten Malware-Programmen infiziert NotPetya neue Systeme, ohne dass der Benutzer irgendetwas macht. Dieses Verhalten machte NotPetya eher zu einem „Lösegeldwurm“ als zu einem herkömmlichen Computer-Virus.

NotPetya hatte eng definierte Ziele, entwickelte sich aber schnell zu einer größeren Bedrohung. Und obwohl er die üblichen Anzeichen eines Ransomware-Angriffs zeigte – wie etwa die Lösegeldforderung – war er nicht darauf ausgelegt, tatsächlich Geld zu kassieren. Aufgrund dieser Merkmale kamen Forscher zu dem Schluss, dass es sich bei dem Virus um einen staatlich geförderten zerstörerischen Angriff und nicht um einen Akt der Cyberkriminalität handelte.

Nach Angaben der ukrainischen Polizei begann der NotPetya-Angriff damit, dass die Update-Funktion ihrer Regierungs-Buchhaltungssoftware untergraben wurde. Eine zweite Angriffswelle verbreitete sich über Malware-geladene Phishing-Mails.^[2]

Obwohl er dieselbe Schwachstelle wie eine frühere Ransomware namens WannaCry ausnutzte, hatte NotPetya mehr Möglichkeiten, um sich auszubreiten. Das machte NotPetya viel widerstandsfähiger gegen Cyber-Verteidigung. Gleichzeitig war er nicht darauf ausgelegt, sich über die ursprünglich infizierte Umgebung hinaus zu verbreiten. Das steht im Einklang mit der Theorie, dass NotPetya eher ein zielgerichteter Angriff war als eine Cyber-Attacke, um Geld abzuschöpfen.

Sobald er ein System infiziert hat, wartet Petya etwa eine Stunde, bevor er den Rechner neu startet. Dann zeigt er den Text „Reparieren des Dateisystems auf C:“ und warnt die Benutzer davor, ihren Computer auszuschalten. Während die Benutzer warten, verschlüsselt Petya die Dateien. Schließlich startet das System wieder neu und zeigt die Lösegeldforderung an.

Es ist jedoch fast unmöglich, das Lösegeld für NotPetya zu bezahlen. Die Kontakt-E-Mail der Angreifer war eine Webmail-Adresse, die schnell abgeschaltet wurde. Es gibt also keine Möglichkeit für die Opfer, das Geld zu senden oder den Entschlüsselungscode zu erhalten.

Wie die meiste Ransomware sind Petya und NotPetya schwer zu entfernen, nachdem das System infiziert wurde. In den meisten Fällen muss sich das Opfer entscheiden, ob es das Lösegeld zahlt (in der Hoffnung, den Verschlüsselungscode tatsächlich zu erhalten), oder ob es alles löscht und aus dem Backup wiederherstellt. Da die beiden Viren keine Möglichkeit bieten, tatsächlich das Lösegeld zu zahlen, bleibt nur die Wiederherstellung aus einem Backup. Der beste Ansatz ist, Ransomware von vornherein zu vermeiden. Die folgenden Maßnahmen können Sie vor, während und nach einem Angriff ergreifen:

Vor einem Ransomware-Angriff

Die beste Sicherheitsstrategie besteht darin, Ransomware ganz zu vermeiden. Dies erfordert Planung und Arbeit – bevor die Krise zuschlägt.

• Sichern und wiederherstellen
  Der wichtigste Teil jeder Sicherheitsstrategie für Ransomware ist die regelmäßige Datensicherung. Überraschend wenige Unternehmen führen jedoch Sicherungs- und Wiederherstellungsübungen durch, obwohl sie enorm wichtig sind. Diese Übungen sind der einzige Weg, um im Voraus zu wissen, ob Ihr Sicherungsplan funktioniert.
• Aktualisieren und patchen
  Halten Sie Betriebssysteme, Sicherheitssoftware und Patches für alle Geräte auf dem neuesten Stand.
• Benutzer schulen
  Die Schulung und das Sicherheitsbewusstsein Ihrer Mitarbeiter ist entscheidend. Ihre Mitarbeiter sollten wissen, was zu tun ist, was nicht zu tun ist, wie man Ransomware vermeidet und wie man sie meldet. Wenn Mitarbeiter eine Lösegeldforderung erhalten, sollten sie wissen, dass sie diese sofort dem Sicherheitsteam melden müssen - und niemals versuchen dürfen, selbst zu bezahlen.
• In robuste personenzentrierte Sicherheitslösungen investieren
  Selbst die beste Anwenderschulung wird nicht alle Ransomware stoppen. Fortschrittliche E-Mail-Sicherheitslösungen schützen vor schädlichen Anhängen, Dokumenten und URLs in E-Mails, die zu Ransomware führen.

Während des Angriffs

Den Schaden eindämmen und zum Geschäft zurückkehren

Obwohl die beste Ransomware-Strategie darin besteht, Angriffe von vornherein zu vermeiden, hilft Ihnen dieser Ratschlag wenig, wenn Ihr Computer bereits infiziert ist.

Sie müssen kurzfristige Probleme lösen, z.B. Computer, Telefone und Netzwerke wieder ans Netz bringen und mit den Lösegeldforderungen umgehen.

• Schalten Sie den Computer aus und trennen Sie die Verbindung zum Netzwerk
  Petya wartet etwa eine Stunde, nachdem er ein System infiziert hat, bevor er neu startet und eine Meldung anzeigt, dass das Dateisystem „repariert“ wird. Nach Meinung von Experten können einige Dateien gesichert werden, wenn der Rechner sofort abgeschaltet wird.^[2]
  
  In dem Moment, in dem die Mitarbeiter die Forderung nach Ransomware sehen oder bemerken, dass etwas merkwürdig ist, sollten sie die Verbindung zum Netzwerk trennen und den infizierten Computer zur IT-Abteilung bringen. Nur das IT-Sicherheitsteam sollte einen Neustart versuchen, und selbst das wird nur funktionieren, wenn es sich um gefälschte Scareware oder gewöhnliche Malware handelt.
• Informieren Sie die Strafverfolgungsbehörden
  Ransomware ist ein Verbrechen — Diebstahl und Erpressung sind im Spiel. Die Benachrichtigung der zuständigen Behörden ist ein notwendiger Schritt.
• Bestimmen Sie das Ausmaß des Problems auf Grundlage der Bedrohungsinformationen
  Um das Ausmaß des Schadens zu bestimmen, versuchen Sie, möglichst detaillierte Informationen zu sammeln über:
  • Der Art des Angriffs.
  • Wer in Ihrem Netzwerk kompromittiert ist.
  • Welche Netzwerkberechtigungen die kompromittierten Konten habe.
• Verlassen Sie sich nicht auf kostenlose Ransomware-Entschlüsselungstools
  Die meisten kostenlosen Tools funktionieren nur für einen einzigen Ransomware-Stamm oder sogar nur für eine einzige Angriffskampagne. Wenn Angreifer ihre Ransomware aktualisieren, sind die kostenlosen Tools veraltet und funktionieren wahrscheinlich nicht mehr für Ihre Ransomware.
• Wiederherstellen aus dem Backup
  Die einzige Möglichkeit, sich vollständig von einer Ransomware-Infektion zu erholen, besteht darin, alles aus dem Backup wiederherzustellen.

Nach dem Angriff

Überprüfen und verstärken

Wir empfehlen eine Top-Down-Sicherheitsüberprüfung, um mögliche weitere Bedrohungen in Ihrer Umgebung zu finden. Werfen Sie einen genauen Blick auf Ihre Sicherheitstools und -verfahren, und wo sie versagt haben.

• Aufräumen
  Einige Ransomware enthält andere Bedrohungen oder Hintertür-Trojaner, die zu zukünftigen Angriffen führen können. In anderen Fällen war die Umgebung des Opfers bereits kompromittiert, wodurch eine Tür für die Ransomware geöffnet wurde. Suchen Sie genauer nach versteckten Bedrohungen, die Sie im ersten Chaos vielleicht übersehen haben.
• Post-Mortem-Review
  Überprüfen Sie Ihre Bedrohungsbereitschaft, die Kette der Ereignisse, die zu der Infektion geführt hat, und Ihre Reaktion. Ohne herauszufinden, wie der Ransomware-Angriff durchgekommen ist, haben Sie keine Möglichkeit, um den nächsten Angriff zu stoppen.
• Sicherheitsbewusstsein der Benutzer überprüfen
  Ein gut informierter Mitarbeiter ist Ihre letzte Verteidigungslinie. Stellen Sie sicher, dass Mitarbeiter, Belegschaft oder Fakultät der Aufgabe gewachsen sind.
• Ausbildung und Schulung
  Entwickeln Sie einen Lehrplan, um die Verwundbarkeit von Mitarbeitern gegenüber Cyber-Angriffen zu reduzieren. Erstellen Sie einen Krisenkommunikationsplan für den Fall eines künftigen Angriffs und führen Sie Übungen und Penetration Testing durch.
• Verstärken Sie Ihre Verteidigung
  Die heutige Bedrohungslandschaft verändert sich rasant und erfordert Sicherheitslösungen, die in Echtzeit schädliche URLs und Anhänge analysieren, identifizieren und blockieren kann. Suchen Sie nach Sicherheitslösungen, die sich an neue und aufkommende Bedrohungen anpassen und Ihnen dabei helfen, schneller auf diese zu reagieren.

[1] Andy Greenberg (Wired). „The Untold Story of NotPetya, the Most Devastating Cyberattack in History“
[2] Olivia Solon and Alex Hern (The Guardian). „‚Petya‘ ransomware attack: what is it and how can it be stopped?“