Auf den Spuren von »Wannacry«: Weltweite Angriffswelle mit »Petya«-Ransomware

Schon seit über einem Jahr ist die Ransomware »Petya« unterwegs, doch eine neue Variante nutzt dieselbe Lücke wie vor wenigen Wochen »Wannacry« und ist damit aktuell sehr erfolgreich. Ölkonzerne und Reedereien zählen zu den Opfern.

(Foto: psdesign1 / Fotolia)

Die Ransomware »Petya« hat ein beeindruckendes Comeback hingelegt. Ursprünglich war der Schädling im März des vergangenen Jahres aufgetaucht und hatte vor allem dadurch von sich Reden gemacht, dass er nicht nur Dateien verschlüsselte, sondern auch den Bootsektor manipulierte. Nun ist eine neue Variante in Umlauf, die wie schon im Mai »Wannacry« eine Sicherheitslücke im Windows-Dateifreigabeprotokoll SMB nutzt, um sich zu verbreiten – ganz so wie ein klassischer Netzwerk-Wurm.

Offenbar schon Dienstagabend wurden die ersten Unternehmen zum Opfer der neuen Petya-Variante, doch seit gestern häufen sich die Meldungen. Nachdem zuerst vor allem Unternehmen aus Russland, der Ukraine und Polen betroffen schienen, ist mittlerweile klar, dass der Schädling weltweit Rechner infizieren konnte. In Deutschland ist dem NDR zufolge etwa der Beiersdorf-Konzern betroffen, bei dem sowohl Computer als auch Telefonanlagen ausfielen. Zu den weiteren Opfern sollen die weltgrößte Containerschiff-Reederei Maersk, der Hafen in Rotterdam, die russischen Ölkonzerne Bashneft und Rosneft, der ukrainische Flugzeugbauer Antonov und der Kiewer Flughafen sowie mehrere ukrainische Banken, der staatliche Stromnetzbetreiber und das Regierungsnetzwerk zählen.

Eset zufolge versucht die neue Petya-Variante zunächst, den Master Boot Record zu befallen und das komplette Laufwerk zu verschlüsseln. Klappt das nicht, werden alle Dateien verschlüsselt. Zur Verbreitung nutze der Schädling eine Kombination aus dem SMB-Exploit »External Blue« und der Telnet-Alternative »PsExec«. »Diese gefährliche Kombination ist wahrscheinlich der Grund für die schnelle und globale Ausbreitung – obwohl das mediale Interesse nach vorherigen Ausbrüchen hoch war und die meisten Sicherheitslücken hoffentlich beseitigt wurden«, so Eset-Experte Robert Lipovsky.

Bei F-Secure weist man darauf hin, dass es bei Petya anders als noch bei Wannacry wohl keinen »Kill Switch« gibt. Die aktuelle Petya-Kampagne fühle sich ganz anders an, urteilt Sean Sullivan, Sicherheitsexperte bei F-Secure: »Sie ist erst in der ersten Runde, wirkt deutlich professioneller und die Hintermänner sind bereit abzukassieren.«

Nicht alle Sicherheitsanbieter sind der Ansicht, dass es sich bei dem aktuell kursierenden Schädling um eine neue Petya-Variante handelt. Teilweise wird er als neue »Goldeneye«-Version geführt, andernorts als »Loki Bot«. Bei Kaspersky ist man der Ansicht, es handele sich um eine völlig neue Ransomware, die man – weil in den Berichten derzeit vor allem von Petya zu lesen ist – explizit »NotPetya« getauft hat. (Update: Mittlerweile hat Kaspersky die Benennung in »ExPetr« geändert.)

Wie auch immer die Ransomware heißt: Für das Leck im SMB-Protokoll von Windows, über das sie sich verbreitet, sind längst Updates verfügbar – selbst für das eigentlich nicht mehr gepflegte Windows XP. »Das Patchen dieser Schwachstelle mit dem seit Monaten verfügbaren Microsoft-Patch hätte in vielen Fällen eine Infektion verhindert«, so BSI-Präsident Arne Schönbohm, der allerdings auch darauf hinweist, dass der Schädling – so er einmal im Netzwerk ist – sich auch ohne das Leck ausbreiten kann: »In internen Netzen benutzt Petya zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung und kann damit auch Systeme befallen, die auf aktuellem Patchstand sind.«

Wie gehabt ruft das BSI die betroffenen Unternehmen auf, sich bei der Behörde zu melden, und empfiehlt, nicht auf Lösegeldforderungen einzugehen. Erste Bitcoin-Zahlungen wurden aber schon getätigt. F-Secure zufolge hatten bis gestern Abend etwa 30 Opfer die geforderte Summe gezahlt.