Schlecht gemachte Ransomware-Kampagne: Petya könnte Datenvernichtung zum Ziel haben

Die Kommunikation zwischen Opfern und Cyberkriminellen läuft über einen gewöhnlichen Mail-Service, die Freischaltung der Daten ist äußerst kompliziert – laut Bitdefender sind das Anzeichen, dass es den Petya-Hintermännern gar nicht um Erpressungsgelder geht.

(Foto: psdesign1 - Fotolia)

Die aktuelle Ransomware-Welle mit »Petya« hat zahlreiche Großunternehmen erwischt, doch ein finanzieller Erfolg ist die Kampagne für die Hintermänner nicht. Einerseits weil bis Dienstagabend nur wenige Opfer bereit waren, die geforderte Summe von 300 Dollar in Bitcoins zu zahlen. Andererseits weil die Mail-Adresse, über welche die Opfer anschließend Kontakt aufnehmen sollten, um sich Instruktionen zur Entschlüsselung ihrer Daten zu holen, vom Mail-Dienstleister Posteo schnell abgeschaltet wurde.

Womöglich ist den Petya-Machern das aber auch egal, denn nach Einschätzung von Bitdefender deutet einiges darauf hin, dass es diesen gar nicht um die Lösegelder ging, sondern vielmehr die Vernichtung von Daten. Schon die Wahl eines Mail-Dienstleisters ohne besonderen Schutz als Kommunikationskanal »wäre eine schlechte Wahl für eine Organisation, die versucht, den finanziellen Gewinn zu maximieren«, erklärt Bitdefender-Experte Bogdan Botezatu.

Dazu kommen komplizierte Prozesse, etwa dass die Opfer zunächst zahlen und dann per Mail mit den Erpressern in Kontakt treten sollen – nur um eine extrem lange Zeichenfolge als Entschlüsselungskey zu erhalten, die manuell eingegeben werden muss. Dem ganzen Verfahren fehle es an Automatisierung, das Eintippen des Keys sei fehleranfällig, so Bitdefender. »Normalerweise haben Ransomware-Kampagnen, die erhebliche Gewinne generieren wollen, einen hohen Grad an Automatisierung, der den Zahlungsprozess einfach und sicher macht, fast auf dem Niveau von professionellem Online-Banking«, sagt Botezatu.

Bitdefender zufolge sind das gleich mehrere Indizien, die für die Theorie sprechen, dass es bei Petya vor allem um die Zerstörung von Daten geht.

Zu einer ähnlichen Einschätzung kommt man auch beim Netzwerkmonitoring-Spezialisten Gigamon. Dort hat man festgestellt, dass Petya erst zehn bis 60 Minuten nach der Infektion des Systems aktiv wird – wohl um Sandbox-Verfahren auszutricksen. Zudem breite sich der Schadcode schneller im Netzwerk aus als Wannacry. »Wer auch immer dahintersteckt, ist unglaublich fortgeschritten beim Entwerfen der Malware, dem Infizieren und der Ausbreitung, geht aber beim zentralen Teil einer Ransomware-Attacke – dem Abgreifen eines Lösegelds – vollkommen unzulänglich vor«, so Kevin Magee von Gigamon. »Hier wurde ein gut durchdachter, auf große Organisationen abzielender und sich schnell ausbreitender Schadcode geschrieben und im letzten Moment halbgar eine Ransomware-Komponente hinzugefügt.«

Er vermutet daher, dass es den Angreifern nicht um Geld ging, sondern die Erprobung ihrer Technik und Chaos. Da die Attacke in der Ukraine begann, und das am 27. Juni, dem Tag vor dem »Tag der Verfassung«, dürften die Ursprünge in Russland liegen. Dass es dann auch Unternehmen in anderen Ländern getroffen habe, darunter auch russische, sei einfach ein Kollateralschaden gewesen.