Zweite WannaCry-ähnliche Erpressungs-Welle auf Basis von EternalBlue /Update.6

Seit wenigen Stunden häufen sich Meldungen, zuerst aus Russland und der Ukraine, dass eine neue Welle eines Erpressungstrojaners um sich greift, der – ähnlich wie WannaCry von wenigen Wochen – die Sicherheitslücke EternalBlue ausnutzt. Die Sicherheitslücke stammt ursprünglich aus dem Fundus der NSA, wurde vermutlich durch die Shadowbroker-Leaks veröffentlicht und betrifft sehr viele Windows-Versionen – sofern diese nicht die Patches eingespielt haben. Die Lücke wird von Microsoft selbst als derart kritisch bewertet, dass erst vor wenigen Tagen ursprünglich seit Jahren deaktivierte Update-Automatismen für (längst veraltete) Windows-Versionen mit EternalBlue-Sicherheitsaktualisierungen versehen wurden.

In der aktuellen Version ist die EternalBlue-Lücke in eine bereits bekannte Verschlüsselungs-Malware namens Petya (Update 3 28.6.2017: andere Analysten sprechen auch von NotPetya, ExPetr, PetrWrap oder GoldenEye) eingebettet wurden, der wie WannaCry zuvor Festplatten verschlüsselt und Bitcoins als Lösegeld erpresst.  Es ist allerdings zu befürchten, dass Petya nicht den Fehler der WannaCry-Urheber wiederholen wird, der für eine relativ einfache Deaktivierung der Verbreitungsroutinen (einem sog. „Kill Switch“) gesorgt hat.

Bislang gibt es nur bestätigte Infektionen bei Wirtschaftsunternehmen und politische Einrichtungen: in Russland bei den Unternehmen Rosneft und Bashneft, bei der ukrainischen Zentralbank, am Kiewer Flughafen, bei der dänischen Reederei Maersk und dem deutschen Chemie-Konzern Beiersdorf mit dem Tochterunternehmen Nivea. Laut Medienberichten soll auch das Netzwerk der ukrainischen Regierung betroffen und offline sein. Auch die Kontroll-Einrichtungen im ukrainischen Tschernobyl wurden möglicherweise betroffen. (Quelle für diese Vorfälle: heise.de / lokale Kopie). Update (28.6.2017): Mittlerweile gibt es bestätigte Infektionen auch von US-amerikanischen Unternehmen wie dem Pharmakonzern Merck und der Lebensmittelhersteller Mondelēz sowie weiteren europäischen Unternehmen.

Unklar ist bis dato, ob die aktuelle Petya-Version über Replikations- und Verbreitungsmechanismen verfügt, wie dies bei WannaCry der Fall war oder ob es diese Malware gezielt an die obigen Unternehmen „verteilt“ wurden. Da die ausgenutzte Sicherheitslücke EternalBlue aber explizit die ungeschützte Ausbreitung innerhalb eines Windows-Netzwerkes ermöglicht, muss selbst dann mit weiteren Infektionen und „Kollateralschäden“ gerechnet werden. Update (28.6.2017): Das BSI meldet, dass ihren ersten Analysen zufolge Petya innerhalb eines Netzwerkes über weitere Angriffsvektoren auch Systeme befallen kann, die gegen EternalBlue gepatcht worden sind. Außerdem soll Petya, einmal in einem Netz eingedrungen, dessen weitere Infektionen sehr vorsichtig und gut verborgen ausführen und unter anderem auch gezielt nach Zugangsdaten für die weitere Infektion suchen (lokale Kopie). Update 2 (28.6.2017): Die untersuchenden IT-Sicherheitsunternehmen gehen vermuten mittlerweile, dass die Infektionen in der Ukraine starteten. Die Malware scheint spezifisch eine Finanzsoftware namens MeDoc anzugreifen (möglicherweise als initialer Zugriffsvektor) die für Verwaltungsaufgaben und u.a. auch für die Steuerzahlungen in der Ukraine eingesetzt wird. Die Malware scheint dabei über Updates dieser Software verteilt worden zu sein (Q: heise.de / lokale Kopie). Update 3 (28.6.2017): Kaspersky berichtet, dass auch die Webseiten der ukrainischen Regierungen angegriffen wurden und über eine Modifikation die Malware Petya verteilt haben sollen. (Q: Threatpost /lokale Kopie). Update 5 (8.7.2017): Einer Analyse und Meldung des BSI zufolge (lokale Kopie) wurde über MeDoc bereits vor der aktuellen Petya-Infektionswelle Schadsoftware verbreitet. Die erste Auffälligkeiten seien bereits am 13. April registriert worden. Darüber hinaus ist mittlerweile bekannt, dass die aktuelle Verschlüsselungs-Variante von Petya in drei Wellen verteilt worden ist und dass es den Angreifern auch darum ging, durch Informationskanäle genaue Kentnisse darüber zu gewinnen, in welche Unternehmen sie eingedrungen sind (Q: heise.de / lokale Kopie).

Eine sehr detailierte erste technische Code-Analyse ist bei Microsoft zu finden (lokale Kopie).

Sollten die Urheber von Petya aus den Erfahrungen um WannaCry „gelernt“ haben und , entgegen zu früheren Varianten der eigenen Malware auch bei der Verschlüsselung keine Fehler mehr gemacht haben (Q: heise.de / lokale Kopie), dann könnte diese Welle nochmal durchaus größeren Schaden anrichten als WannaCry. Anders als WannaCry könnte es möglicherweise auch gar nicht um die Erpressung von Geld gehen, sondern darum gezielt Schäden zu verursachen und die Ransomware-Erscheinung nur als Tarnung zu verwenden. Dafür spricht unter anderem, dass nur genau eine Bitcoin-Adresse als Einzahlungsziel existiert, die E-Mail-Adresse für den Kontakt zu den Erpressern aber bereits durch den deutschen Dienstleister Posteo abgeschalten worden ist. Damit sind Lösegeld-Zahlung nicht mehr zuordbar (Q: Brian Krebs auf krebsonsecurity.com / lokale Kopie) Darüber hinaus sprechen einige Analysten davon, dass die Verschlüsselung der Daten eher einem „Wiping“ derselben nahekommt, also dem irreversiblen Zerstören des Zugangs zu den Daten. (Q: Threatpost /lokale Kopie). Update (3.7.2017): IT-Forensiker des Unternehmens BleepingWorld berichten, dass sie eine Maßnahme gefunden haben um die Infektion eines Rechners mit Petya zu verhindern. Allerdings weisen die Autoren ausdrücklich darauf hin, dass es sich dabei nicht um einen Killswitch handelt, dass ein befallener Rechner trotzdem durch Petya benutzt werden kann um sich innerhalb eines Netzwerkes weiter auszubreiten. Update (8.7.2017): Über eine anonyme Webseite haben sich die mutmaßlichen Angreifer gemeldet und versprochen (lokale Kopie), gegen die Zahlung von 100 Bitcoins (ca. eine 1/4 Million Dollar) den zentralen Verschlüsselungs-Code herauszugeben, mit dem sich alle Daten lt. Aussage in der Nachricht retten ließen. Diese Aussage wird jedoch in Sicherheits-Kreisen eher angezweifelt, zumal Petya durch das Löschen einiger kritischer Dateisystem-Bestandteile das Entschlüssel selbst unmöglich gemacht haben könnte. Update (12.7.2017): Umfangreiche Analysen von Codesamples der Malware deuten darauf hin, dass zumindestens derjenige Verschlüsselungsteil, der mittels eines Algorithmus namens Salsa20 die komplette Festplatte chiffriert fehlerhaft implementiert wurde und eine Datenrettung mittels IT-Forensik möglich ist. (Q: heise.de / lokale Kopie)