Petya/NotPetya: Kein Erpressungstrojaner sondern ein "Wiper"

June 29, 2017 - 11:00 pm in Security

[ad_1]

Nach eingehenden Analysen des Schädlings NotPetya sind sich die meisten Experten einig: Der Schädling hatte es nicht auf Geld abgesehen sondern auf Randale, sprich: auf möglichst großen Datenverlust bei den Opfern.

Die aktuelle Petya-Welle war in vielerlei Hinsicht neuartig. So handelte man sich den Schädling, der inzwischen als NotPetya bekannt ist, nicht durch Dateianhänge in Mails oder Web-Seiten mit Exploits ein. Statt dessen kam er über den Update-Mechanismus einer legitimen Software ins Netz; dort breitete er sich dann mit Methoden weiter aus, die man bisher eher von gezielten Spionage-Angriffen kannte. Dazu missbrauchte er unter anderem auch legitime Netzwerk-Tools wie die Windows Management Instrumentation Commandline (WMIC) und psexec.

Auf infizierten Systemen überschrieb der Schädling – ähnlich wie der ursprüngliche Petya – Teile des Master Boot Records und verschlüsselte Dateien mit wichtigen Daten. Doch während die Kriminellen hinter Petya tatsächlich darauf aus waren, auf diesem Weg Geld zu scheffeln, ging es den Akteuren hinter NotPetya offenbar um etwas anderes. Denn zum einen war der für einen Erpressungs-Trojaner entscheidende Weg zur Geldübergabe so primitiv umgesetzt, dass das Sperren einer einzigen Mailbox genügte, um den Geldfluss zu kappen. Das passt so gar nicht zum sonst so professionellen Vorgehen der Angreifer.

Daten unwiederbringlich verloren

Darüber hinaus stellten Sicherheitsforscher bei einer genaueren Analyse auch noch fest, dass es gar nicht möglich ist, die von NotPetya angerichteten Schäden zu reparieren. So fand Matt Suiche heraus, dass NotPetya Teile des MBR irreversibel überschreibt – also keine Möglichkeit besteht, den Originalzustand wiederherzustellen. Kaspersky stellt in seiner Analyse fest, dass NotPetya sich nicht einmal die Mühe macht, eine echte ID für den infizierten Rechner zu erstellen. Diese ID gibt das Opfer bei der Bezahlung an. Da sie jedoch keine Informationen zu den verschlüsselten Daten enthält, können die Erpresser sie auch keinem Schlüssel zuordnen. Konkret heißt das: Selbst wenn sie wollten, können die NotPetya-Autoren den Opfern keine Hilfe bei der Wiederherstellung der überschriebenen beziehungsweise verschlüsselten Daten geben.

Somit geht es den Hintermännern von NotPetya wohl nicht ums Geld. Das Ziel des Schädlings ist es, Daten unwiederbringlich zu vernichten, sind sich nahezu alle Experten einig. Sie sprechen dabei von einem sogenannten Wiper. Etwas ähnliches gab es bereits, als vor einigen Jahren ein Schädling namens Shamoon in Saudi Arabien vor allem bei Ölkonzernen in großem Stil Daten löschte. Das ganze Drumherum mit dem Verschlüsseln und der Lösegeldforderungen bei NotPetya diente wohl nur als Ablenkungsmanöver.

Spurensuche

Mit konkreten Schuldzuweisungen sollte man jedoch vorsichtig sein. Natürlich liegt es nahe, nach dem Prinzip des “Cui Bono” – wem nutzt es – auf Russland und dessen Cyber-Truppen zu zeigen. Doch zum einen ist ein solches Indiz allein in einer solch komplexen Situation nicht sonderlich aussagekräftig. Zum anderen ist durchaus auch vorstellbar, dass etwa kriminelle Banden mit nationalistischer Gesinnung hinter diesen Aktivitäten stehen. Und für deren Aktivitäten ohne weitere stichhaltige Beweise den russischen Staat verantwortlich zu machen, wäre unverantwortlich.

Wie professionelle Spurensuche, die sogenannte Attribution, funktioniert, welche Techniken dabei zum Einsatz kommen und wie verlässlich die daraus gewonnenen Aussagen sind, erklärt der Artikel Hacker-Jagd im Cyberspace in der aktuell am Kiosk ausliegenden c’t 14/2017 sehr ausführlich. (ju)

[ad_2]

Read more on: Source

Google Wifi im Test: Bedienung klasse, Durchsatz ok

June 29, 2017 - 5:49 am in Internet

[ad_1] Google Wifi im Test: Bedienung klasse, Durchsatz ok Google Wifi soll flottes WLAN in die ganze Wohnung bringen, damit Smartphone, Tablet und Notebook…

Red Hat bündelt Software für Mini-Rechenzentren

June 29, 2017 - 5:09 am in OSS

[ad_1] Der Linux-Distributor Red Hat baut aus Open-Source-Komponenten eine Hyperconverged Infrastructure. Damit will er im Markt für Private-Cloud-Systeme…

Entwicklungsumgebung: Eclipse Oxygen mit zahlreichen Verbesserungen erschienen

June 29, 2017 - 5:06 am in Software-Entwicklung

[ad_1] Wie jedes Jahr seit mehr als einer Dekade erscheint Ende Juni ein neues großes Release der Entwicklungsumgebung. An Eclipse Oxygen waren 83 Projekte, 287 Committer und 664 Contributor involviert, die zu 71 Millionen Codezeilen beigetragen haben. Eclipse…

Alles, was wir bisher über den Petya/NotPetya-Ausbruch wissen

June 29, 2017 - 4:59 am in Security

[ad_1] Inhaltsverzeichnis Alles, was wir bisher über den Petya/NotPetya-Ausbruch wissen Politisch motivierte Attacke mit einer Menge Fallout Was kann ich unternehmen, wenn ich infiziert wurde? Auf einer Seite lesen Ein riesiger Ausbruch eines weiteren Erpressungstrojaners…

20 Jahre IEEE 802.11: WLAN feiert Geburtstag

June 28, 2017 - 11:48 am in Internet

[ad_1] Kaum eine Spezifikation hat die Welt so verändert wie WLAN. Gestern feierte der Standard seinen 20. Geburtstag. Die Entstehungsgeschichte der WLAN-Technik kennt mehrere Meilensteine und je nach Feierlaune kann man sich einen aussuchen. Wer an die übergreifende…

Open Source für Big Data

June 28, 2017 - 11:08 am in OSS

[ad_1] Data Science – die Auswertung immer größerer Datenmengen – erfordert spezielle Software. Unter dem Apache-Dach finden sich zahlreiche Big-Data-Projekte. Zu den großen Herausforderungen, vor denen Unternehmen heute stehen, gehört die Auswertung…

JFrog übernimmt DevOps-Intelligence-Experten CloudMunch

June 28, 2017 - 11:05 am in Software-Entwicklung

[ad_1] Das CloudMunch-Angebot misst im Paket mit den JFrog-Produkten die Auswirkungen von Software-Release-Pipeline, sodass Kunden den Wert ihrer DevOps-Anwendungen besser einschätzen können sollen. Nach der Geldspritze von 50 Millionen US-Dollar im Januar…

Petya-Attacke: Posteo sperrt E-Mail-Adresse der Angreifer

June 28, 2017 - 10:55 am in Security

[ad_1] Der E-Mail-Anbieter Posteo hat eine beim aktuellen Petya-Angriff genutzte Mailadresse gesperrt. Für Opfer gibt es damit wohl vorerst keine Möglichkeit, die Erpresser zu kontaktieren. Ob die nach einer Lösegeldzahlung geholfen hätten, ist sowieso…

Fritz-Labor: Mesh-Funktionen für Fritzboxen und Repeater

June 27, 2017 - 5:46 pm in Internet

[ad_1] AVM springt auf den WLAN-Verteilerzug auf: Drei Fritzboxen erhalten eine Labor-Firmware mit Erweiterungen für Mesh-WLAN. So können sie sich besser mit dem Repeater 1750E und dem Powerline/WLAN-Adapter 1240E vernetzen. Anzeige AVM FRITZ!Box 7490 (20002584)…