DDV7jtvXcAAwRhm

Notlandung wegen Erpressungs-Trojaner


Wir hatten gestern bereits davon berichtet, dass der aktuelle Petya-Trojaner, der die Windows Systeme verschlüsselt, gerade in vielen Ländern die technische Infrastruktur angreift. Mittlerweile gehen die Probleme aber noch weiter und es sind auch die ersten Fälle bekannt geworden, wonach Petya auch Flugzeuge befallen hat. Dabei wurde nicht nur die Unterhaltungselektronik angegriffen, sondern das Flugzeug musste notlanden, was dafür spricht, dass auch die reguläre Bordelektronik betroffen war.

Auf Twitter heißt es dazu:

Betroffenen von Petya sind derzeit vor allem Russland und die Ukraine. Es ist aber natürlich nicht auszuschließen, dass die Software (oder eine veränderte Version davon) früher oder später auch auf andere Länder übergreift. Die Sicherheitsexperten von Avira haben auch bereits in anderen Ländern Fälle beobachtet. Nach ihren Zahlen (von 27. Juni 16 Uhr) gab es folgende Vorfälle:

  • Russland: 1.512
  • Ukraine: 918
  • Portugal: 13
  • England: 7
  • Deutschland: 2
  • Frankreich: 1

Mittlerweile dürfte die Zahl noch höher liegen. Bei McAfee sieht man deutlich Parallelen zur WannaCry Infektion, aber die Ziele liegen bei Petya anders. Hier sind nicht private Nutzer im Fokus, stattdessen sucht sich Petya vor allem Industrie und Behörden. Die Experten von McAfee schreiben dazu:

Steve Grobman, CTO bei McAfee:

„Wir glauben, dass die heutigen Vorkommnisse Teil der natürlichen Evolution der Ransomware-Technologie sind, aber auch ein Testlauf für einen viel größeren und ausgeprägteren Angriff in der Zukunft.

Das einzigartige Element von Petya ist, dass es auf der Wurm-basierten Technik aufbaut, die WannaCry etabliert hat und ein neues Element hinzugefügt hat, das die Infektion von eigentlich sicheren Maschinen ermöglicht. Es stiehlt Anmeldeinformationen von infizierten Maschinen und verwendet diese, um Maschinen, die auf dem neuesten Sicherheitsstandard sind, zu infizieren. Dieser Hybridansatz verstärkt drastisch den Einfluss und das Ausmaß des Angriffs.

Raj Samani, Head of Strategic Intelligence bei McAfee:

„Dieser Ausbruch scheint nicht so groß wie WannaCry zu sein, aber die Zahl der betroffenen Unternehmen ist bedeutsam. Jeder, der Betriebssysteme ausführt, die nicht für die Sicherheitsanfälligkeit gepatched sind und die durch WannaCry bereits genutzt wurden, könnten anfällig für diesen Angriff sein.“

Petya basiert wie auch WannaCry auf einer Sicherheitsheitlücke in Windows (auch ältere Systeme sind betroffen) die EternalBlue genannt wird. EternalBlue ist ein Exploit, der auf eine Entwicklung des us-amerikanischen Geheimdienstes NSA zurück geht und speziell dafür entwickelt wurde, Windows System zu infiltrieren. Dieser Exploit wurde Anfang 2017 im Zuge der Shadow Brokers geleakt und kann damit mittlerweile von vielen Gruppen eingesetzt werden. Mittlerweile hat Mircosoft dafür auch bereits einen Patch veröffentlicht, aber es gibt immer noch viele Systeme, bei denen dieser Patch nicht eingespielt wurde. Die entsprechenden Rechner sind damit immer noch anfällig für Angriffe mit dem Exploit.

Wer genau hinter den aktuellen Angriffen steckt ist allerdings unklar. Auch die Sicherheitsexperten von Avast können dies nicht sagen. Stattdessen weist man darauf hin, dass im Internet diese Technik mittlerweile auch als eine Art Service angeboten wird.



Wichtig: Hilfe zu inhaltlichen Themen kann am einfachsten in unserem Hilfe-Bereich bekommen werden. Dort kann man schnell und einfach bei Problemen und Schwierigkeiten nachfragen und entweder die Redaktion oder auch fachkundige Nutzer beantworten die Frage. Dazu können dann auch andere Nutzer mit dem gleichen Problem die Lösung dazu lesen und müssen nicht mehr selbst eine Frage stellen.