Kurz nach WannaCry läuft bereits der nächste globale Angriff mit Schadsoftware. Die Angreifer nutzen vor allem Unternehmensnetzwerke. Anders als WannaCry verschlüsselt die aktuelle Petya-Kampagne die Daten nicht, sondern macht sie endültig unbrauchbar.
Unternehmen werden in diesen Tagen Opfer einer globalen Angriffswelle mit Schadsoftware, die vermutlich Teil einer „Petya-Kampagne“ ist, zu der auch die im letzten Mai weltweit auftretende WannaCry-Ransomware zu zählen ist. Als Petya wird eine ganze Familie an Schadcodes bezeichnet, der neben dem Trojaner Petya noch die Programme Goldeneye und Mischa angehören. Für die nun grassierende Schadsoftware existieren unterschiedliche Bezeichnungen. Eine ältere ist „NotPetya“, weil Sicherheitsforscher davon ausgingen, dass die aktuelle Schadsoftware doch nicht zur Petya-Familie zu zählen ist. Dies scheint jedoch der Fall zu sein, weshalb momentan der Name „exPetr“ relativ weit verbreitet ist.
Angriff und Verbreitung über Unternehmensnetzwerke
Die Angreifer haben sich vermutlich gezielt für die Verbreitung über Unternehmensnetzwerke entschieden. Nach dem jetzigen Kenntnisstand nutzt exPetr gezielt Unternehmen, die eine Buchungssoftware namens MeDoc verwenden. Die von den Angreifern entdeckte Sicherheitslücke scheint u.a. deshalb attraktiv zu sein, weil die ukrainische Regierung MeDoc für die Abwicklung von Zahlungen verwendet. Unternehmen, die Geschäftsbeziehungen zur Ukraine unterhalten bzw. dort Steuern entrichten sowie Bürger müssen MeDoc installieren, um Rechnungen stellen und Steuern bezahlen zu können. Von der Ukraine aus hat sich exPetr nach Russland ausgebreitet. Mittlerweile sind namhafte dänische wie deutsche Unternehmen und US-amerikanische Anwaltskanzleien betroffen.
Daten werden vernichtet, Entschlüsselung wohl nicht möglich
Anders als bei WannaCry werden die Daten der befallenen Computer nicht verschlüsselt, um sie für erpresserische Zwecke nutzen zu können. Zwar erscheint nach Befall des Computers eine entsprechende Mail. Abgesehen davon, dass die bei einem deutschen Mailanbieter hinterlegte Adresse der vermeintlichen Erpresser inzwischen abgeschaltet wurde, ist die generierte Zahlenfolge zu einer Bitcoin-Zahlung zufällig und damit nutzlos. Dies berichtet das IT-Sicherheitsunternehmen Kaspersky. Die Daten werden von exPetr zwar verschlüsselt. Eine sogenannte Installations-ID fehlt jedoch, so dass die Angreifer keinen Schlüssel zur Freigabe der Daten erstellen können. Damit werden die verschlüsselten Daten endgültig unbrauchbar. Der weltweite Schaden ist noch nicht bekannt, dürfte aber beträchtlich ausfallen.
Aktuell kann man betroffenen Unternehmen und Personen nur dazu raten, die befallenen Geräte vollständig vom Stromnetz zu entfernen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht Handlungsempfehlungen.