Was wir bisher über NotPetya wissen

Der neue Erpressungstrojaner verbreitet sich weniger schnell als WannaCry, greift dafür aber grössere Unternehmen an

Datum
28. Juni 2017
Autor

Seit gestern greift ein neuer Erpressungstrojaner Computer rund um den Globus an. NotPetya verbreitet sich zwar langsamer als WannaCry, greift dafür aber grössere Unternehmen und Organisationen an. Wer dahinter steht, ist unklar. Vermutlich geht es nicht um Geld, sondern um Chaos.

Kaum ist WannaCry aus den Medien verschwunden, sorgt ein neuer Hackerangriff für Schlagzeilen. Am Dienstag (27. Juni 2017) wurden die ersten NotPetya-Angriffe in der Ukraine bekannt. Von dort aus hat sich der Erpressungstrojaner über Europa und die USA bis nach Asien ausgebreitet.

NotPetya nutzt offenbar dieselbe Schwachstelle in alten Microsoft-Systemen wie WannaCry vor wenigen Wochen. Die Ransomware verschlüsselt Dateien und verlangt 300 Dollar in Bitcoin für ihre Freigabe. Die Hacker drohen, die Dateien zu löschen, falls jemand das Lösegeld nicht bezahlt. Der Zahlprozess ist dilettantisch. Zum einen sollen alle Lösegeldzahlungen auf dasselbe Bitcoin-Konto gehen, zum anderen müssen sich zahlende Opfer mit einer E-Mail bei den Erpressern melden. Sobald der E-Mail-Dienst das Konto der Hacker gelöscht hatte, waren Lösegeldzahlungen sinnlos, weil sich die Opfer nicht bei den Erpressern melden konnten. Bis Mittwochmorgen sollen rund 10.000 Dollar auf das Bitcoin-Konto überwiesen worden sein.

NotPetya verbreitet sich weniger schnell als WannaCry. Bis Dienstagabend zählte die russische IT-Sicherheitsfirme rund 2000 Angriffe. Vor allem in Russland und in der Ukraine, aber auch in Deutschland, Frankreich, Grossbritannien, Italien und den USA. Im Gegensatz zu WannaCry waren vor allem grössere Unternehmen betroffen. Zum Beispiel der amerikanische Lebensmittelkonzern Mondelez, die dänische Reederei Maersk, der französische Industriekonzern Saint Gobain oder der russische Energiekonzern Rosneft. In Deutschland sollen laut NDR die Computer und die Telefonanlage der Hamburger Zentrale des Beiersdorf-Konzerns ausgefallen sein.

Update: Das BSI empfiehlt

  • De-Aktivierung der Auto-Update-Funktion der Software MeDoc oder Sperrung der Domain upd.me-doc.com.ua (92.60.184.55)
  • Aufgrund der Ausnutzung der gängigen Administratorenwerkzeuge psexec und wmic sollten die Administratorenrechte überprüft werden:
    • Lokale Administratoren sollten sich nicht über das interne Netz einloggen können
    • Lokale Administratoren dürfen auf unterschiedlichen Rechnern nicht das gleiche Passwort haben.
    • Idealerweise sollte der lokale Administrator deaktiviert sein
  • Netzwerke müssen segmentiert werden
  • Einspielen des Microsoft-Patches MS17-010
  • Aktualisierung der eingesetzten Antiviren-Programme
  • Mit bereits bestehenden Backups können Daten ersetzt werden

Einschätzung

Wer hinter den neuesten Angriffen steht, ist bis jetzt unklar. Es gibt keine Hinweise, dass dieselben Hacker hinter NotPetya stehen wie hinter WannaCry. Die Ukrainer beschuldigen die Russen, NotPetya sei ein Angriff auf ihr Land, der ausser Kontrolle geraten sei. Dagegen spricht, dass auch Russland stark betroffen ist – aber das könnte bei einem ausser Kontrolle geratenen Angriff passieren. Experten vermuten, dass die Hacker nur Chaos stiften wollten. Sonst hätten sie den Bezahlprozess professioneller programmiert.

Wie schützen Sie sich vor  solchen Angriffen?

Wer sein Netzwerk und die Computer schützt, muss Schadsoftware wie WannaCry oder NotPetya nicht fürchten. Mit diesen Schutzmaßnahmen hätten die Kryptotrojaner keine Chance gehabt:

  • Alle Daten regelmäßig und redundant sichern.
  • Betriebssystem und Applikationen laufend aktualisieren.
  • Virenschutz und Firewall installieren und regelmäßig aktualisieren.
  • Alle Mitarbeitenden für das Thema Informationssicherheit sensibilisieren, damit sie beispielsweise nicht auf einen Link oder einen Anhang in einer E-Mail klicken.

Mit einem Managementsystem für Informationssicherheit betrachten Sie diese Einzelmaßnahmen umfassend und strukturiert. So erkennen Sie erforderliche Schutzmaßnahmen und setzen diese wirtschaftlich um.

Zielgruppen

  • Management
  • IT- und IS-Verantwortliche
  • Interessierte Kreise