NotPetya

Immer häufiger hört man etwas von Verschlüsselungs-Trojanern oder auch Krypto-Trojaner genannt. Doch was ist das überhaupt und wie kann man sich dagegen schützen?

Diese Art von Trojanern sorgen dafür, dass alles was sich auf einer Festplatte befindet, verschlüsselt wird. Ist dies geschehen fährt der Rechner meist selbstständig herunter und startet neu. Nun ist nur noch ein Bild zu sehen, welches Lösegeld fordert, um die Dateien wieder zu entschlüsseln.

Illustration von Krypto-Trojanern

Die Verschlüsselung der Daten kann sogar soweit gehen, dass ganze Netzwerke verschlüsselt werden. Also jeder Rechner in einem Netzwerk.

Diesem Angriff ist im Jahr 2017 der dänische Mega-Konzern Maersk zum Opfer gefallen. Maersk ist die größte Schifffahrtsgesellschaft der Welt.
Riesige Container-Schiffe konnten weder be- noch entladen werden. Container-Terminals standen still. Die gesamte IT-Infrastrucktur des Konzerns ist zusammengebrochen.
Der Schaden wurde auf 200 – 300 Mio. Euro geschätzt.

Der Krypto-Trojaner der dieses Ausmaß an Schäden verursacht hat trägt den Namen: NotPetya

NotPetya hat weltweit einen Schaden von rund 9 Mrd. Euro verursacht.

Wie kam es dazu?

Die ukrainische LINKOS-Group vertreibt die beliebte Software medoc. Mit dieser Software können ukrainische Unternehmen ihre Steuererklärung vorbereiten, welche von einem Großteil der Firmen eingesetzt wird. Der Update-Server der LINKOS-Group wird von Hackern übernommen und diese stellen für alle Nutzer der Software ein Update bereit. In diesem Update gab es keine neuen Funktionen oder Sicherheitspatches. In diesem Update war die ca. 1,5 GB große Schadsoftware NotPetya enthalten.

Was ist NotPetya?

NotPetya ist ein Wurm, der sich selbst vervielfältigt und somit jeden Rechner befällt, den er in einem Netzwerk findet.
Der Angriff mit NotPetya bestand stark vereinfacht aus 3 Funktionen:

  1. medoc-Update
    Mit Hilfe von Mimikatz (ein Programm) kann auf dem Rechner nach Benutzernamen und Passwörtern gesucht werden. Mit diesen Daten kann sich der Wurm im Netzwerk ausbreiten und auf andere Rechner gelangen um diese zu infizieren.
  2. EternalBlue
    Findet NotPetya keine relevanten Benutzernamen und Passwörter, wird zusätzlich zu Mimikatz noch EternalBlue genutzt.
    Mit EternalBlue können sich Hacker Zugang zu einem Rechner verschaffen, da dieses Tool eine Schwachstelle in Windows ausnutzt die völlig unbekannt war. Daher konnte diese Sicherheitslücke seitens Microsoft nicht geschlossen werden. EternalBlue wurde von der NSA (National Security Agency) entwickelt. Somit war gut jeder Windows-Rechner auf der Welt durch EternalBlue angreifbar.
    EternalBlue wurde am 14.04.2017 geleakt und konnte so von jedem auf der ganzen Welt genutzt werden.

    Microsoft hatte die Schwachstelle die von EternalBlue genutzt wurde zum Zeitpunkt von NotPetya bereits geschlossen. Doch Menschen updaten ihre Systeme leider nicht oder nur sehr zögerlich und somit im Fall von NotPetya zu spät.
  3. Petya
    Hat der Wurm sich Zugang zum Rechner bzw. zum Netzwerk beschafft kommt nun der eigentliche Verschlüsselungs-Trojaner zum Einsatz. Dieser verschlüsselt alle Dateien auf dem Rechner und startet den Rechner anschließend ohne eingreifen des Nutzers neu. Nun soll man ein Lösegeld mit Bitcoins bezahlen um vermeintlich ein Code zum entschlüsseln der Daten zu erhalten.

Die Aufforderung zum bezahlen von Lösegeld ist bei NotPetya allerdings nur Tarnung, denn es geht hierbei nicht um Erpressung. NotPetya soll schlichtweg maximal zerstören. Deshalb auch der Name „NotPetya“ also Nicht wie Petya.

Die Software medoc wurde auch von ausländischen Unternehmen mit einem Sitz in der Ukraine genutzt, wie zum Beispiel von dem Konzern Maersk, aber auch andere große Unternehmen wie Mondelez, FedEx oder Merck.

Im Fall von Maersk hat der Wurm rund 45.000 PCs und ca. 4.000 Server befallen und verschlüsselt. NotPetya hat leider auch den Domain-Controller verschlüsselt. Der Domain-Controller ist sowas wie das Herzstück eines Netzwerks. Es hat sogar alle 150 Backups des Domain-Controllers erwischt.
Durch reines Glück gab es in Ghana noch ein Backup welches nicht verschlüsselt wurde, da zu diesem Zeitpunkt ein Stromausfall die Übernahme von NotPetya verhinderte.
Mit diesem Backup ist dem Unternehmen Maersk gelungen unter enormen Anstrengungen ihre IT-Infrastrucktur wieder aufzubauen.

Wie kann man sich dagegen schützen?

Trojaner und somit auch Krypto-Trojaner nutzen meist Schwachstellen von Hard- und Software aus um sich Zugang zu den System zu verschaffen. Wenn diese Schwachstellen den Herstellern bekannt sind, gibt es fast immer ein Update welches die Lücke schließt und somit den Angriff verhindert.
Man sollte darauf achten verfügbare Updates für die gesamte Software ein einem Rechner oder in einem Netzwerk zeitnah zu installieren. Dies verringert das Potenzial eines solchen Angriffs enorm.

Quellen:
Youtube: Simplicisimus – NotPetya
https://www.youtube.com/watch?v=KODpP29AHD4
Heise Online: NotPetya: Maersk erwartet bis zu 300 Millionen Dollar Verlust
https://www.heise.de/newsticker/meldung/NotPetya-Maersk-erwartet-bis-zu-300-Millionen-Dollar-Verlust-3804688.html