Petya / NotPetya / ExPetr / PetrWrap / GoldenEye

 

Keyfacts

  • entdeckt: 27.06.2017
  • sicher aktiv seit: 13.04.2017
  • letzte Aktualisierung: Juni 2017
  • Verbreitung: Politische Einrichtungen und Industrieunternehmen in der Ukraine, weitere Infektionen in anderen europäischen Ländern, Russland und der USA
  • Infektion und Replikation: Spear-Phising und Waterig-Hole-Attacken für initiale Infektion, dann Weiterverbreitung über Eternal-Blue-Exploit in lokalen Windows-Netzwerken, Grundlage der Angriffe war EternalBlue, ein Leak aus NSA-Beständen. Dieser wurde u.a. auch bei WannaCry verwendet
  • Hauptziel: Sabotage und wirtschaftliche Schädigung
  • Vermutliche Herkunft: Indizien deuten auf russischen Ursprung, die USA und Großbritannien haben Russland offiziell angeschuldigt, eine Code-Analyse legt Ähnlichkeiten zu den BlackEnergy-Vorfällen in der Ukraine nahe

Relevante Dokumente

Die größten Infektionen mit NotPetya (Q: eset.com)
Die unter den unterschiedlichsten Namen firmierende Malware Petya (auch NotPetya/ExPetr/PetrWrap/GoldenEye) trat wenige Wochen nach der WannaCry-Verschlüsselungswelle auf und nutze wie diese die EternalBlue-Schwachstelle aus dem geleakten Fundus der NSA. Die Namensdiversion entstand aufgrund ursprünglich angenommener  Ursprünge der Malware-Kampagne in früheren Verschlüsselungs-Malware-Attacken mit einer Malware namens Petya. Letzten Erkenntnissen zufolge benutzte NotPetya aber zwar deren Code, ist aber vermutlich nicht den selben Urhebern zuzurechnen.  Obgleich Petya initial wie WannaCry nach einer „normalen“ Verschlüsselungs-Malware mit krimineller Gewinnabsicht aussah (also das komplette Verschlüsseln von Festplatten verbunden mit Lösegeldforderungen), wurde rasch deutlich, dass es sich in diesem Fall vermutlich eher um eine rein zerstörerische Handlung handelte. Aufgrund der Schwere der ausgelösten Schäden, die ins besondere Unternehmen betrafen und in einigen Fällen den teilweisen Stillstand von Produktionsabläufen ausgelöst hatte, kamen unter anderem Analysten des NATO Cooperative Cyber Defence Centre of Excellence in Tallinn (CCDCOE)  zu dem Schluss, dass mit Petya möglicherweise die Frage nach einem bewaffneten Angriff im Sinne des Völkerrechts aufgeworfen sein könnte: „if the operation could be linked to an ongoing international armed conflict, then law of armed conflict would apply, at least to the extent that injury or physical damage was caused by it, and with respect to possible direct participation in hostilities by civilian hackers

Ablauf der Verschlüsselungs-Attacken:

Am 27.Juni 2017 häuften sich, beginnend in der Ukraine, Meldungen dass eine neue Welle eines Erpressungstrojaners um sich greift, der – ähnlich wie WannaCry von wenigen Wochen – die Sicherheitslücke EternalBlue ausnutzt. Die Sicherheitslücke stammt ursprünglich aus dem Fundus der NSA, wurde vermutlich durch die Shadowbroker-Leaks veröffentlicht und betrifft sehr viele Windows-Versionen – sofern diese nicht die Patches eingespielt haben. Die Lücke wurde von Microsoft selbst als derart kritisch bewertet, dass erst vor wenigen Tagen ursprünglich seit Jahren deaktivierte Update-Automatismen für (längst veraltete) Windows-Versionen mit EternalBlue-Sicherheitsaktualisierungen versehen wurden. Im Falle dieser Malware-Attacke wurde die EternalBlue-Lücke in den Code einer älteren, bereits bekannten Verschlüsselungs-Malware namens Petya eingebettet um, wie bei WannaCry zuvor Festplatten zu verschlüsseln und Bitcoins als Lösegeld zu erpressen erpressen – daher unterschiedlichen Namen Petya, NotPetya, ExPetr, PetrWrap oder GoldenEye. Die ersten Infektionen wurden von  Wirtschaftsunternehmen und politische Einrichtungen gemeldet: in Russland bei den Unternehmen Rosneft und Bashneft, bei der ukrainischen Zentralbank, am Kiewer Flughafen und dem deutschen Chemie-Konzern Beiersdorf mit dem Tochterunternehmen Nivea. Laut Medienberichten war auch das Netzwerk der ukrainischen Regierung betroffen und offline. Auch die Kontroll-Einrichtungen im ukrainischen Tschernobyl wurden möglicherweise betroffen. Im Verlauf der Attacken gab es auch bestätigte Infektionen von US-amerikanischen Unternehmen wie dem Pharmakonzern Merck und der Lebensmittelhersteller Mondelēz sowie weiteren europäischen Unternehmen sowie der Fahrzeughersteller Renault und Nissan. Besonders schwer getroffen wurde die dänische Reederei Maersk, die von einem Schaden zwischen 200 und 300 Millionen US-Dollar ausgeht, da Systeme auf Bohrinseln stillstanden und das Beladen und Löschen von Containerschiffen der Reederei durch technische Ausfälle gestört wurden.

Infektion und Ausbreitung

Petya soll über mindestens zwei unterschiedliche Wege seinen Weg in IT-Netzwerke gefunden haben um sich dann davon ausgehend, unter anderem mit Hilfe der EternalBlue-Sicherheitslücke aus den Leaks der NSA wie WannaCry in den Netzwerken auszubreiten. Das BSI verweist jedoch auch darauf, dass ihren Analysen zufolge Petya innerhalb eines Netzwerkes über weitere Angriffsvektoren verfügt und somit auch Systeme befallen kann, die gegen EternalBlue gepatcht worden sind. Außerdem soll Petya, einmal in einem Netz eingedrungen, dessen weitere Infektionen sehr vorsichtig und gut verborgen ausführen und unter anderem auch gezielt nach Zugangsdaten für die weitere Infektion suchen. Ein erster Angriffsvektor waren Spear-Phishing-Mails sowie Watering-Hole-Angriffe gegen ausgewählte Personen und Webseiten. So berichtet Kaspersky (bzw. Threatpost), dass die Webseiten der ukrainischen Regierungen angegriffen wurden und über eine Modifikation die Malware Petya verteilt haben sollen. Der zweite und mutmaßlich größere Angriffsvektor bestand in der Verwendung einer Finanzverwaltungs-Software namens MeDoc, die unter anderem in der Ukraine für die Steuererklärungen eingesetzt werden muss. Die Malware scheint laut Analyse des BSI dabei über die regulären Update-Kanäle dieser Software in drei Wellen verteilt worden zu sein, wobei erste Auffälligkeiten bereits einige Wochen vor dem Ausbruch der Malware registriert worden sind.

Laut den Code-Analysen ging es der Malware zum einen um die Ausspähung und Identifikation des infizierten Netzwerkes sowie um eine Weiterverbreitung innerhalb dessen IT-Strukturen: „Wird ein Rechner mit NotPetya infiziert, versucht der Trojaner sich Administrator-Rechte zu verschaffen. Schlägt dies fehl, verschlüsselt der Nutzerdaten mittels AES. Das Betriebssystem funktioniert dann weiterhin (..) Hat es NotPetya allerdings beim Einbruch in den Rechner geschafft, Administrator-Rechte zu ergattern, verschlüsselt der Trojaner die gesamte Festplatte mit Salsa20 und verhindert so, dass das Betriebssystem gebootet werden kann“ (Q: heise.de). 

Schäden und mutmaßliche Absicht

Anders als WannaCry ging es bei Petya mit hoher Wahrscheinlichkeit nicht um die Erpressung von Geld, sondern darum gezielt Schäden zu verursachen und die Ransomware-Erscheinung nur als Tarnung zu verwenden. Dafür spricht unter anderem, dass nur genau eine Bitcoin-Adresse als Einzahlungsziel existiert, die E-Mail-Adresse für den Kontakt zu den Erpressern aber bereits durch den deutschen Dienstleister Posteo abgeschalten worden ist. Damit sind Lösegeld-Zahlung nicht mehr zuordbar sodass die Angreifer selbst im Idealfall keinen passenden Entschlüsselungs-Code nach der Zahlung eines Lösegeldes übermitteln könnten. Darüber hinaus sprechen unter anderem Analysten von Kaspersky (via Threatpost) davon, dass die Verschlüsselung der Daten eher einem „Wiping“ derselben nahekommt, also dem irreversiblen Zerstören des Zugangs zu den Daten. Einige Tage nach dem Einsetzen des Angriffs haben sich die mutmaßlichen Angreifer gemeldet und versprochen, gegen die Zahlung von 100 Bitcoins (ca. eine 1/4 Million Dollar) den zentralen Verschlüsselungs-Code herauszugeben, mit dem sich alle Daten lt. Aussage in der Nachricht retten ließen. Umfangreiche Analysen von Codesamples der Malware deuten darauf hin, dass zumindestens derjenige Verschlüsselungsteil, der mittels eines Algorithmus namens Salsa20 die komplette Festplatte chiffriert fehlerhaft implementiert wurde und eine Datenrettung mittels IT-Forensik möglich ist. NotPetya hat insbesondere im Bereich international agierender Industrie- und Logistikunternehmen, sowie bei Banken und Finanzinstitutionen für ehrhebliche Schäden gesorgt, darunter zählen die dänische Maersk Line (200-300 Millionen USD Schaden), das russische Ölunternehmen Rosneft, Beiersdorf und die deutsche DHL sowie das Pharmaunternehmen Merck & Co., der Nahrungsmittelhersteller Mondelez sowie FedEx ($300 Millionen USD Schaden bei der FedEx-Tochter TNT Q: Bloomberg.com / lokale Kopie).

Ursprung

Laut einer Meldung der BBC verfügt der ukrainische Geheimdienst SBU über Informationen, die eine russische Urheberschaft der Malware belegen sollen. Dabei stützt sich der Geheimdienst auf Analysen und Vergleiche zu Attacken mit früheren Versionen der  Malware Petya (die nicht auf dem geleakten NSA-Exploit EternalBlue aufbauten). Andere Auswertungen widersprechen der Verwandschaft der aktuellen Petya-Variante zu früheren Exemplaren. Moskau selbst hat eine Beteiligung an der Malware abgelehnt und der BBC-Bericht weist zu recht darauf hin, dass auch große russische Unternehmen betroffen waren. Nachdem Anfang Januar 2018 zuerst der CIA Russland offiziell der Herkunft von NotPetya beschuldigt hat, wurde dies einen Monat später auch von den Regierungen der USA (lokale Kopie) und Großbritanniens (lokale Kopie) nachvollzogen.

  1. Quelle offline, Link war https://www.maersk.com/en/news/2018/06/29/20170816-a-p-moller-maersk-improves-underlying-profit-and-grows-revenue-in-first-half-of-the-year