Industrie-focus
Petya-neu-1

Das »NotPetya«-Schadprogramm und die Folgen -

Moskau steht nach der Cyberattacke am Pranger

 

Zerstörerischste Cyber-Attacke: USA und Großbritannien beschuldigen Russland für NotPetya

 

Das Schadprogramm NotPetya war 2017 neben WonnaCry eine der großen Cyberattacken mit Kryptotrojanern. Nun haben sowohl die USA als auch Großbritannien offiziell das russische Militär als Täter beschuldigt. Es habe sich um einen Angriff auf die Ukraine gehandelt, heißt es dabei.

Die Regierungen der USA und von Großbritannien haben offiziell das russische Militär beschuldigt, für die große Cyberattacke mit der Malware NotPetya verantwortlich zu sein. Das Weiße Haus erklärte, Russland habe damit »den zerstörerischsten und teuersten Cyberangriff der Geschichte« verantwortet. Dieser sei Teil des anhaltenden Versuchs des Kreml, die Ukraine zu destabilisieren. Das britische Außenministerium ergänzte, die Attacke zeige die Missachtung der ukrainischen Souveränität und habe europaweit Hunderte Millionen Pfund gekostet. Die USA kündigen »internationale Konsequenzen« an, und die Briten versichern, sie und ihre Alliierten würden bösartige Cyberaktivitäten nicht tolerieren.

Ende Juni 2017 hatte die Malware NotPetya vor allem Unternehmen in der Ukraine und in Russland aber auch in anderen Staaten getroffen. Ersten Berichten zufolge hatte es sich um einen Erpressungstrojaner gehandelt, mit dem die Täter an Geld kommen wollten. Rasch hatte sich aber die Einschätzung verbreitet, dass dies eine Täuschung war – denn die angerichteten Schäden waren gar nicht zu beheben. Die Angreifer hatten eine Software für jene Unternehmen genutzt, die in der Ukraine Steuern zahlen. Die Ukraine, die im Osten des Landes gegen von Russland unterstützte Separatisten kämpft, hatte schon früh das Nachbarland hinter dem Cyberangriff vermutet.

Immense Kosten verursacht

Getroffen wurden durch den Angriff auch einige weltweit tätige Konzerne, die in der Ukraine Geschäfte machen. Bei der wohl am massivsten getroffenen dänischen Reederei Maersk verursachte NotPetya offenbar Schäden in Höhe von mehreren Hundert Millionen Euro. Die IT-Abteilung des Konzerns musste innerhalb von zehn Tagen große Teile der Computer-Infrastruktur neu aufsetzen – Mitarbeiter waren unterdessen gezwungen, komplett analog zu arbeiten. Auch der US-Pharmakonzern Merck und das US-Logistikunternehmen Fedex erlitten teils herbe Verluste. Ersten Berichten zufolge waren nach Beginn der Attacke auch russische Unternehmen wie Rosneft und Bashnef Opfer der Attacke.

Russland wehrt sich gegen die Vorwürfe

Russland wies die Vorwürfe erneut zurück. »Das ist nichts anderes als die Fortsetzung einer russophoben Kampagne, die unbegründet und ohne Beweise geführt wird«, zitiert die Nachrichtungagentur Interfax Kremlsprecher Dmitri Peskow. In einer Mitteilung der russischen Botschaft in London hieß es, die Anschuldigungen seien Teil einer Kampagne zur »Dämonisierung Russlands«.

Der Autor: Martin Holland, in heise online am 3.Februar 2018

Petya

Quelle: Wikipedia, a.a.O.

Petya ist ein Erpressungstrojaner, der ohne Wissen des Benutzers alle Dateien im Computer verschlüsselt. Das Opfer wird aufgefordert, Lösegeld für eine System- bzw. Datenwiederherstellung zu zahlen. Im Gegensatz zu anderen Verschlüsselungstrojanern verschlüsselt Petya das Inhaltsverzeichnis der Festplatten (die sogenannte Master File Table). Außerdem verschlüsselt Petya zusätzlich das erste Kilobyte vieler, aber nicht aller Dateien. Der Name Petya ist ein in slawischen Sprachen wie dem Russischen weit verbreiteter Kosename, der der deutschsprachigen Variante Peter, Peterlein entspricht.

Petya existiert inzwischen in vier verschiedenen Varianten. Die erste Variante ist durch einen roten Totenkopf gekennzeichnet. Da diese Version von Leostone mit Hilfe von genetischen Algorithmen geknackt wurde, veröffentlichten die Erpresser eine zweite Variante im Mai, die jedoch mit Hilfe von Grafikkarten auch geknackt werden konnte, vorausgesetzt, dass die Benutzerkontensteuerung von Windows durch den Benutzer bestätigt wurde. Die grüne Variante enthielt eine zweite Verschlüsselungssoftware namens Mischa, die allerdings nur zum Einsatz kam, wenn die User-Account-Kontrolle nicht vom Benutzer bestätigt wurde. In diesem Fall wurden die Dateien des Benutzers im User Space verschlüsselt, ohne dass der grüne Totenkopf zu sehen war. Auch das Betriebssystem blieb in diesem Fall bootfähig.

Daraufhin wurde im Juli eine weitere grüne Totenkopfvariante der Erpressersoftware veröffentlicht, die nicht mehr durch Brute-Force-Methoden zu entschlüsseln war. Im Dezember 2016 wurde eine weitere Variante unter dem Namen "Goldeneye" veröffentlicht, die sich durch einen gelben Totenkopf auszeichnet und jetzt im Gegensatz zu früheren Varianten Dateien vollständig verschlüsselt, bevor das Inhaltsverzeichnis der Festplatte verschlüsselt wird. Im Gegensatz zu vorhergehenden Versionen wird die vollständige Dateiverschlüsselung vor dem Neustart des Rechners durchgeführt.2

Funktionsweise: Petya wird hauptsächlich mittels E-Mail übertragen und als Bewerbungsschreiben getarnt. In der E-Mail befindet sich ein Dropbox-Link, der vortäuscht, dass es sich um eine Bewerbung handelt. In Wirklichkeit jedoch führt der Link zu einem als PDF-Datei getarnten Programm. Wird diese Datei heruntergeladen und ausgeführt, entpackt sich das Programm und überschreibt den Master Boot Record. Mit dem Fertigstellen des Überschreibungsvorganges wird ein Blue Screen angezeigt und das Betriebssystem stürzt ab.

Kurz darauf fährt das System wieder hoch und zeigt dem Opfer einen fingierten CHKDSK-Scan an. Tatsächlich aber wird mittels des Salsa20-Algorithmus die Master File Table verschlüsselt. Mit der verschlüsselten Hauptdatei des Inhaltsverzeichnisses der Festplatte kann das System nicht mehr lokalisieren, wo sich die Dateien auf der Festplatte befinden oder ob sie überhaupt noch existieren.

Sobald der gefälschte CHKDSK-Scan abgeschlossen wurde, öffnet der überschriebene Master Boot Record einen Sperrbildschirm, der Anweisungen zur Systemwiederherstellung enthält. In den Anweisungen wird das Opfer aufgefordert, mithilfe eines Tor-Browsers eine Internetseite im Darknet zu öffnen. Auf dieser Internetseite muss nun das Opfer Lösegeld in Form von Bitcoins zahlen, um wieder Zugriff auf die Daten zu bekommen.

Entschlüsselung: Im April 2016 wurde die Entschlüsselung von Petya durch einen anonymen Computerspezialisten bekanntgegeben. Er entwickelte die Software hack petya, die ein Passwort für den Zugriff auf die verschlüsselten Dateien generiert.

Im Juni 2016 wurde die Entschlüsselung der ersten grünen Petya-Version durch die Firma Ingenieursozietät Dipl.- Ing. Rolf B. Drescher VDI & Partner veröffentlicht, worauf die Erpresser im Dezember massenhaft E-Mails mit der Schadsoftware in ihrer neuen Version im Namen der Ingenieursozietät versendeten, um sich an dem Unternehmen zu rächen.Sowohl die letzte grüne Version des Petya, die im Juli veröffentlicht wurde, als auch die gelbe Totenkopfversion, die unter dem Namen "Goldeneye" veröffentlicht wurde, sind nicht mehr entschlüsselbar. Paradoxerweise aber auch nicht von den Erpressern selbst, da der Verschlüsselungsalgorithmus der Erpresser weiterhin einen Programmfehler enthält, der eine zuverlässige Entschlüsselung verhindert.

Home   Interviews   News   Automation   Prozessautomation   Technologien   Introduction   Smart Energy   Robotik   Lasertechnik   Digitalisierung   Künstliche Intelligenz   Autonomik 
Bt_neu-6
website design software