Die Ransomware „NotPetya“ treibt momentan auf vielen Rechnern in ganz Europa großen Unfug und wie es scheint, wollen die Angreifer damit kein Geld verdienen. Aktuellen Informationen zufolge ist der Trojaner nur Ransomware zur Tarnung und in Wahrheit in Wiper.
Petya und NotPetya?
Als Ransomware wird ein Virus bezeichnet, der den Nutzer erpresst und „Lösegeld“ für die Daten auf dem PC fordert. Das macht auch „NotPetya“, allerdings gibt es auch nach Zahlung der geforderten Summe von 300 US-Dollar scheinbar keine wirkliche Möglichkeit, die Verschlüsselung zu entsperren. Einerseits liegt das daran, dass das Email-Konto der Hacker gesperrt wurde, andererseits daran, dass es sich um einen Wiper handelt. Wiper ist Software, welche die Festplatte nicht verschlüsselt, sondern sie einfach formatiert. Laut Sicherheitsexperten soll NotPetya nicht genügend Daten speichern, um eine Wiederherstellung des Systems zu ermöglichen. So zumindest die aktuellsten Erkenntnisse. Aus diesem Grund schwirrt in Expertenkreisen auch der Name NotPetya in diesem Zusammenhang herum, denn Petya ist eine Ransomware, die erstmals im April 2016 einige Windows-Rechner infizierte. NotPetya basiert darauf, ist offenbar keine Ransomware und greift momentan gezielt Unternehmen an.
Microsoft untersuchte Malware
Microsoft hat sich selbstverständlich ebenfalls mit dem Thema beschäftigt und heute ein Statement veröffentlicht. Darin heißt es, dass Petya absichtlich so gestaltet wurde, um keine große Verbreitung zu finden. Darauf deutet auch, dass es keine Automatisierung bei der Entschlüsselung gab und ein Email-Postfach bei einer großen Menge an infizierten PCs eher schwer zu verwalten ist. Zudem konnten die Hacker davon ausgehen, dass das Email-Konto früher oder später gesperrt wird.
Sicherheitslücke in Software-Update war Schuld
NotPetya soll speziell auf die ukrainische staatliche Infrastruktur abzielen, was die Sache wahrscheinlich zu einem politischen Thema macht. Microsoft schreibt im Blog nur, dass die Attacken in der Ukraine begonnen haben. Sicherheitsexperten haben die Ursache allerdings bereits gefunden: Von den Angreifern wurde ein Fehler im Update-Prozess einer Buchhaltungssoftware, welche vorrangig von staatsnahen Unternehmen in der Ukraine verwendet wird, ausgenutzt. Das alles deutet darauf hin, dass NotPetya ein politisch motivierter Angriff auf ukrainische Infrastruktur ist. Weshalb das Microsoft nicht erwähnt, liegt ganz einfach daran, dass der Konzern sich eher ungern in außenpolitische Themen einmischt.
NotPetya: Windows 7 betroffen
Laut Microsoft läuft ein Großteil der infizierten Rechner mit Windows 7 und 70 Prozent der infizierten Geräte liegen in der Ukraine. Schon im April hatte Microsoft ein Update ausgeliefert, welches das Betriebssystem selbst nicht angreifbar macht. Dadurch, dass ein Fehler in der Buchhaltungssoftware ausgenutzt wurde, konnten die Hacker zumindest unter Windows 7 den schädlichen Code ausführen.
Microsoft beschreibt im Blog ausführlich, wie die NotPetya-Malware aufgrund der vielen Sicherheitsebenen unter Windows 10 keine Chance hätte. Vom Device Guard bis hin zum App Locker gäbe es unter Windows 10, Microsofts aktuellster Betriebssystemversion, zahlreiche Möglichkeiten einen solchen Angriff abzufangen. Die Vorgangsweise, mit der die Hacker gearbeitet haben, ist Sicherheitsforschern seit Jahren bekannt und stellt moderne Betriebssysteme vor keine allzu großen Herausforderungen.
Quelle: Microsoft
