Seit Tagen infiziert Ransomware Petya Unternehmen
Der von vielen Sicherheitsfirmen als Petya bezeichnete Trojaner, der in den vergangenen Tagen Unternehmen infiziert hat, verfügt offenbar nicht über die Möglichkeit, die verschlüsselten Daten wiederherzustellen. Opfer der Malware-Kampagne haben also wenig Aussicht, ihre Dateien wieder zu erlangen. Nach Angaben von Sicherheitsforschern hat der Trojaner eher Ähnlichkeit mit dem Disk-Wiper Shamoon.
Einer Analyse von Matt Suiche zufolge, soll das Petya-ähnliche Verhalten vor allem zur Ablenkung dienen. Die Motive der Angreifer unterschieden sich von denen krimineller Gangs, es ginge vor allem darum, zu zerstören. Das Verdienen von Geld ist in dem Fall nicht das Ziel. Auch die Sicherheitsfirma Kaspersky kommt zu einem ähnlichen Schluss.
Offensichtliche Unterschiede zu gewinnorientierter Ransomware fallen, wie bei Wanna Cry, auf. Beispielsweise gibt es keine individualisierten Bitcoin-Wallets, was eine automatische Zuordnung gezahlter Beträge erschwert. Da die Angreifer über ein einzelnes E-Mail-Konto kommunizieren, wird davon ausgegangen, dass das Verdienen von Geld kein primäres Ziel ist.
Verlorene Daten aufgrund Übschreibung von Master File Table und Master Boot Record
Die Malware verschlüsselt nach einem Neustart des Rechners sowohl den Master File Table als auch den Master Boot Record der Festplatte. Petya verschlüsselt einige Sektoren der Bereiche und spielt bei anderen einen neuen Bootloader. Die alten Informationen werden der Analyse zufolge nicht gespeichert und können daher auch nicht wiederhergestellt werden.
Des Weiteren würden Angreifer eine Installations-ID benötigen, um den richtigen Schlüssel zur Freigabe der Daten herauszugeben. Diese ID muss eindeutige Informationen über den verschlüsselten Rechner enthalten. Die auf dem Bildschirm der Opfer angezeigte ID wird jedoch, laut Kaspersky, zufällig generiert und lässt daher keine eindeutige Identifikation zu.
Die Sicherheitsforscher gehen daher davon aus, dass es sich nicht um eine kriminelle Bande handelt, sondern um einen staatlichen Akteur, der wichtige Infrastrukturen zerstören will. Die Malware wurde mit Hilfe eines Fehlers im Update-Mechanismus der Buchhaltungs- und Steuersoftware M.E.Doc verteilt. Nahe zu alle ukrainischen Unternehmen und solche, die mit der Regierung Geschäfte tätigen, nutzen diese Software.
Die incoperating als Ihr Partner bezüglich IT-Sicherheit
Sollten Sie weitere Fragen zu den Themen Ransomware, Viren oder IT-Sicherheit allgemein haben, können Sie uns jederzeit telefonisch sowie per E-Mail kontaktieren. Die incoperating ist, als IT-Dienstleister in München, der richtige Ansprechpartner zu den Themen IT-Sicherheit, IT-Support, Firewalls, Software und vielen weiteren Themen. Auch in den Bereichen Firewalls, Benutzerverwaltung sowie Berechtigungsmanagement ist die incoperating mit ihrem Leistungsportfolio vertreten. Außerdem können Sie bei uns kostenlose und unverbindliche Erstberatungstermine in Anspruch nehmen. Dies wäre für Sie auch eine Möglichkeit uns und unsere Servicedetails sowie Vertragsmöglichkeiten kennenzulernen und besprechen.
Originalartikel: https://www.golem.de/news/petya-die-ransomware-ist-ein-zerstoerungstrojaner-1706-128653.html