Petya: Erste Infektion via Buchhaltungs­software

Seit gestern Nachmittag hat eine Ransomware tausende von Computern infiziert. Betroffen sind bisher Unternehmen in verschiedenen europäischen Ländern, Russland und insbesondere in der Ukraine, wo die ersten Infektionen zu beobachten waren. Auch Schweizer Firmen wurden Opfer des Angriffs. Die Werbeplattform Admeira hat auf Twitter bekannt gegeben, vom Cyberangriff betroffen zu sein. Laut Melde- und Analysestelle Informationssicherung (Melani) sind sechs Firmen in der Schweiz betroffen, wie sie auf Anfrage der Nachrichtenagentur 'sda' mitteilt.
 
Bei der aktuellen Ransomware handelt es sich verschiedenen Security-Forschern zufolge um eine neue Version der bekannten Malware Petya, PetyaWrap genannt. Wie es scheint, gibt es verschiedene Infektionswege. Einer davon ist laut Kaspersky über eine Buchhaltungssoftware aus der Ukraine namens MeDoc. Die Ransomware tarnt sich demnach als Update für diese Software. Laut dem Security-Spezialisten hat der Angriff auf diesem Weg begonnen. Auch Forscher der Security-Abteilung von Cisco, Talos, schreiben, dass "einige Infektionen möglicherweise" über MeDoc-Updates geschahen. Eset wiederum ist sicher, dass der MeDoc-Update-Mechanismus "der Punkt war, von dem diese globale Epedemie begonnen hat".
 
MeDoc schreibt in einem Blogeintrag, dass das letzte Update von ihnen vom 22. Juni stammt, also fünf Tage vor Beginn der Ransomware-Welle. Somit wird spekuliert, dass MeDoc selbst Opfer eines Angriffs war und die Malware den Update-Prozess ausnutzt, um die Nutzer der Buchhaltungssoftware zu infizieren. Die ukrainische Cyberpolizei hat mitgeteilt, dass am Dienstagvormittag Computer über die automatische Updatefunktion der Software manipuliert worden seien. Darüber hinaus schloss die Polizei auch eine Verbreitung über Phishing-Mails mit enthaltenen Download-Links nicht aus.
 
Die beiden weiteren Infektionswege sind Exploits, die Schwachstellen in älteren Windows-Systemen ausnutzen. Diese ermöglichen auch die wurmartige Verbreitung der Ransomware. Der Eternal Blue genannte, von der NSA entwickelte Exploit wurde bereits bei der WannaCry-Attacke ausgenutzt. Für die Petya-Attacke wurde der Eternal-Blue-Exploit angepasst. Ist ein PC in einem Netzwerk infiziert, breitet sich die Ransomware auf die anderen verwundbaren Computer im selben Netzwerk aus, schreibt Kaspersky. Die Angreifer verlangen 300 US-Dollar in Bitcoins, um die verschlüsselten Daten wieder freizugeben. Neben Eternal Blue nutzt PetyaWrap einen Exlpoit namens EternalRomance, der ebenfalls von der NSA stamme. Für beide Lücken hat Microsoft bereits im März ein Update bereitgestellt. (kjo)
 
Update (13:05 Uhr):
Die Zahl der von der Cyber-Attacke betroffenen Schweizer Unternehmen steigt: Melani hat Kenntnis von sieben infizierten Firmen, wie der Nachrichtenagentur 'sda' mitteilte.