Petya ist nicht Petya und schlimmer als einfach Ransomware

29. Juni 2017, 13:30
  • security
  • ransomware
image

"NotPetya" ist laut neuen Erkenntnissen eine als Ransomware getarnte Datenzerstörungssoftware.

"NotPetya" ist laut neuen Erkenntnissen eine als Ransomware getarnte Datenzerstörungssoftware.
Die Malware, die seit Dienstag vielen Unternehmen weltweit grosse Probleme verursacht, scheint eine Art Wolf im Schafspelz gewesen zu sein. Oder vielleicht besser gesagt, ein Löwe im Wolfspelz.
Anfänglich wurde die Malware von Security-Experten als Variante der seit Frühling 2016 bekannten Ransomware Petya kategorisiert. Mittlerweile wird aufgrund doch beträchtlicher Unterschiede von vielen nicht mehr als Petya-Variante angesehen. Darum sind auch neue Namen wie PetyaWrapper, ExPetr oder NotPetya kreiert worden.
Aufgrund weiterer Analysen kamen Security-Experten mittlerweile auch zum Schluss, dass es sich bei NotPeya – wir wählen diesen Namen, weil er am einprägsamsten erscheint – gar nicht um eine Ransomware handelt. Die Malware sei in Wahrheit ein "Wiper", nicht darauf aus, Daten zu verschlüsseln, sondern sie zu zerstören beziehungsweise permanent unzugänglich zu machen. Damit bestehe auch für die Opfer kaum Hoffnung, die Daten je wieder zurück zu bekommen, auch wenn sie sich für eine Lösegeldzahlung entscheiden würden.
Angreifer können nicht entschlüsseln
Petya war, um das mal so zu formulieren, eine "ehrliche" Ransomware. Die Malware bot den Hintermännern tatsächlich die Möglichkeit, aufgrund eines individuell generierten "Installationsschlüssels" einen Schlüssel zur Wiederherstellung der Daten zu rekonstruieren.
Bei NotPetya ist dies, wie Kaspersky Labs gestern berichtete, nicht der Fall. Auch NotPetya generiert einen Installationsschlüssel, und die Malware verlangt vom Opfer, diesen zusammen mit einem Bitcoin-Zahlungsnachweis per E-Mail an die Angreifer zu schicken. Dieser Schlüssel wird aber, so die Kaspersky-Experten, schlicht durch eine Zufallsfunktion erzeugt. Es sei also schlicht unmöglich für die Angreifer, daraus den individuellen Entschlüsselungscode zu errechnen.
Boot-Sektoren irreversibel zerstört
Auch Matt Suiche vom Security-Spezialisten Comae kommt zum Schluss, dass NotPetya ein Wiper und keine Ransomware sei. Allerdings aufgrund einer anderen Beobachtung. Wie Petya überschreibt auch NotPetya die ersten Sektoren einer Harddisk, so dass diese nicht mehr funktionieren. Während Petya allerdings die vorhandenen Daten zuerst verschlüsselt und sichert, ist der Vorgang bei NotPetya irreversibel.
Kaspersky zieht das Fazit, dass die Attacke offensichtlich keine finanziellen Motive hatte, sondern dass das Ziel Zerstörung war, hält sich aber mit weiteren Interpretationen zurück. Suiche geht in seiner Analyse weiter: Seiner Ansicht nach deutet alles auf einen Angriff einer von einem Staat unterstützten Hackergruppe hin. Die Tarnung als Ransomware habe den Zweck gehabt, die Berichterstattung in den Medien in die falsche Richtung zu lenken und vom wahren Hintergrund abzulenken. Obwohl sich der Angriff anfänglich auf die Ukraine konzentrierte, nimmt aber auch Suiche das Wort Russland nicht in den Mund. (Hans Jörg Maron)

Loading

Mehr zum Thema

image

Polizei in San Francisco will Roboter zum Töten einsetzen

Eine Mehrheit eines kommunalen Gremiums hat die umstrittene Richtlinie nach wochenlanger Prüfung und einer hitzigen Debatte angenommen. Kritische Stimmen wehren sich gegen den Entscheid.

publiziert am 30.11.2022
image

NCSC warnt vor neuer Office-365-Phishing-Variante

Der neue Trick scheint noch ausgeklügelter zu sein als bisherige Phishing-Tricks.

publiziert am 29.11.2022
image

Bei Infopro laufen erste Systeme nach Cyber­angriff wieder

Der Berner IT-Dienstleister kann erste Systeme wieder hochfahren und hofft, im Verlauf dieser Woche zum Normal­betrieb zurückkehren zu können.

publiziert am 28.11.2022
image

Cyberangriff auf Infopro trifft auch Gemeinde Messen

Die Solothurner Gemeinde musste ihre Services nach einem Angriff herunterfahren. Derzeit kommuniziert sie über eine provisorische GMX-E-Mail-Adresse.

publiziert am 25.11.2022