Hack Exploit Sicherheit Pixabay CC0

Cyberangriffe in der Ukraine – Avast geht von Petya Trojaner aus


Derzeit laufen besonders in der Ukraine (aber auch in anderen Ländern) wieder Angriffe auf Unternehmen und die behördliche Infratstuktur, bei denen die Rechner verschlüsselt werden und nur gegen ein Lösegeld in Höhe von 300 US Dollar wieder freischaltbar sind. Das Geld muss dabei in Bitcoin überwiesen werden. Betroffen sind auch Banken und Energieunternehmen, so dass man durchaus von einem Angriff auf die Infrastruktur der betroffenen Länder reden kann.

Sicherheitsexperten gegen mittlerweile davon aus, dass es sich bei der Malware um eine Version des Erpressungstrojaner Petya handelt, der sich auf Sicherheitslücken in ungepatchten Windows Systemen spezialisiert hat. Jakub Kroustek, Threat Lab Team Lead bei Avast, meint dazu im Original:

This modification of Petya seems to be spreading using the EternalBlue vulnerability, which was the same vulnerability used to spread WannaCry. We have seen 12,000 attempts today by malware to exploit EternalBlue, which we detected and blocked. Data from Avast’s Wi-Fi Inspector, which scans networks and can detect if an Avast PC or another PC connected to the same network is running with the EternalBlue vulnerability, shows that 38 million PCs that were scanned last week have not patched their systems and are thus vulnerable. The actual number of vulnerable PCs is probably much higher. We strongly recommend Windows users, regardless if consumer or business users to update their systems with any available patches as soon as possible, and ensure their antivirus software is also up to date.

EternalBlue ist ein Exploit, der auf eine Entwicklung des us-amerikanischen Geheimdienstes NSA zurück geht und speziell dafür entwickelt wurde, Windows System zu infiltrieren. Dieser Exploit wurde Anfang 2017 im Zuge der Shadow Brokers geleakt und kann damit mittlerweile von vielen Gruppen eingesetzt werden. Mittlerweile hat Mircosoft dafür auch bereits einen Patch veröffentlicht, aber es gibt immer noch viele Systeme, bei denen dieser Patch nicht eingespielt wurde. Die entsprechenden Rechner sind damit immer noch anfällig für Angriffe mit dem Exploit.

Wer genau hinter den aktuellen Angriffen steckt ist allerdings unklar. Auch die Sicherheitsexperten von Avast können dies nicht sagen. Stattdessen weist man darauf hin, dass im Internet diese Technik mittlerweile auch als eine Art Service angeboten wird. Man kann also Angriffe mit Ransomware auch mieten:

While we don’t know who is behind this specific cyber attack, we know that one of the perfidious characteristics of Petya ransomware is that its creators offer it on the darknet with an affiliate model which gives distributors a share of up to 85% of the paid ransom amount, while 15% is kept by the malware authors. The malware authors provide the whole infrastructure, C&C servers, and money transfer method. This type of model is called “ransomware  as a service (RaaS)”, which allows malware authors to win over non-tech savvy customers to distribute their ransomware.



Wichtig: Hilfe zu inhaltlichen Themen kann am einfachsten in unserem Hilfe-Bereich bekommen werden. Dort kann man schnell und einfach bei Problemen und Schwierigkeiten nachfragen und entweder die Redaktion oder auch fachkundige Nutzer beantworten die Frage. Dazu können dann auch andere Nutzer mit dem gleichen Problem die Lösung dazu lesen und müssen nicht mehr selbst eine Frage stellen.