Angriffswelle – Erneut weltweite Cyber-Attacke: Auch heimische Firmen betroffen

APTFilter AVGNews CERT-LatestNews FSecureNews KasperskyNews Malware McAfeeNews Security News SocialEngineering SophosNews SymantecNews ThreatsActivists ThreatsCybercrime ThreatsEconomic ThreatsStrategic TrendMicroNews Uncategorized VulnerabilitiesAdobe VulnerabilitiesAll VulnerabilitiesApple VulnerabilitiesApplications VulnerabilitiesCisco VulnerabilitiesCrypto VulnerabilitiesDBMS VulnerabilitiesFirmware VulnerabilitiesGoogle VulnerabilitiesHardware VulnerabilitiesLinux VulnerabilitiesMicrosoft VulnerabilitiesMozilla VulnerabilitiesNetwork VulnerabilitiesOS VulnerabilitiesVMWare VulnerabilitiesVOIP

Erpressungstrojaner nutzt wie “Wanna Cry” durchgesickerte Tools der NSA – Ausgangspunkt in der Ukraine

Gut sechs Wochen nach der globalen Attacke des Erpressungstrojaners “Wanna Cry” folgt nun eine neue Angriffswelle, die zahlreiche Ähnlichkeiten aufweist, und nun weltweit Computersysteme gefährdet. Waren zunächst vor allem Unternehmen in der Ukraine betroffen, wurden schon mittlerweile auch der russische Ölkonzern Rosneft, die dänische Reederei Maersk und die Werbefirma WPP lahmgelegt. Auch in Österreich gibt es Betroffene, wie das Computer Emergency Response Team Austria (cert.at) dem STANDARD bestätigt.

NotPetya

Hieß es zunächst dass, hinter der Attacke eine neue Variante, der seit vergangenem Jahr bekannten Erpressungssoftware Petya steckt, haben die Sicherheitsexperten von Kaspersky mittlerweile Zweifel an dieser Darstellung aufgebracht. Es handle sich hier um einen neuen Trojaner, den man entsprechend als NotPetya betitel. Für die betroffenen Nutzer macht dies aber ohnehin wenig Unterschied, sind die Auswirkungen doch die selben. Die Ransomware verschlüsselt sämtliche lokalen Daten und verlangt dafür Lösegeld – in diesem Fall in der Höhe von 300 US-Dollar, die in Bitcoin zu bezahlen sind. Zusätzlich versucht der neue Schädling aber auch lokal gespeichert Passwörter zu stehlen.

NSA-Tools im Einsatz

Ähnlichkeiten zu “Wanna Cry” ergeben sich aber auch aus den verwendeten Angriffstools. Kommt doch bei der neuen Angriffswelle einmal mehr ein Tool namens “Eternal Blue” zum Einsatz. Dieses nutzt eine zwar besonders gefährliche aber auch bereits seit einigen Monaten bekannte Sicherheitslücke in Windows. Besonders pikant: Eternal Blue wurde ursprünglich von der NSA entwickelt worden, und war durch einen Hack an die Öffentlichkeit gelangt. Kritiker sehen insofern in den den Eternal-Blue-basierten Attacken ein gutes Beispiel dafür, wie gefährlich es ist, wenn Geheimdienste Sicherheitslücken für ihre eigene Zwecke horten, anstatt sie an die betreffenden Hersteller zu melden.

“Not Petya” (oder auch: “PetrWrap”, “GoldenEye”), nutzt darüber hinaus aber noch zusätzlich Angriffswege, die “Wanna Cry” nicht verwendet hat. Mit “Eternal Romance” gehört dazu laut Kaspersky noch ein zweiter Exploit aus dem Arsenal der NSA, mit dem von außen auf Systeme mit Windows XP und Windows Server 2008 eingebrochen werden kann.

Deutlich ausgeklügelter als “Wanna Cry”

Der dritte Angriffsvektor zielt ganz konkret auf den Update-Mechanismus einer ukrainischen Software namen MeDoc ab, was erklärt warum die ersten Infektionen aus der Ukraine gemeldet wurden. Diese sehr spezifische Wahl legt nahe, dass hier das eigentliche Ziel der Angreifer zu suchen ist, auch wenn sich bisher keine Sicherheitsexperten auf eine solche Aussage festlegen wollen.

Neben der Nutzung zusätzlicher Angriffswege, zeigen erste Analysen, dass die neue Attacke auch sonst wesentlich ausgefeilter ist als noch “Wanna Cry”. Ist ein Rechner einmal infiziert, wird nun ein Hacking-Tool namens Mimikatz zum Einsatz gebracht, das versucht Passwörter von anderen Computern im lokalen auszulesen, um diese dann ebenfalls zu übernehmen. Einen “Kill Switch“, wie er Wanna Cry recht schnell zu Fall gebracht hat, scheint es ebenfalls nicht zu geben. Dies lässt Sicherheitsexperten befürchten, dass die aktuelle Angriffswelle noch einige Zeit gehen könnte, und der Höhepunkt der Infektionen noch nicht erreicht ist.

Ukraine besonders betroffen

Das ukrainische Innenministerium erklärte, es handle sich um die bisher schwersten Hackerangriffe in der Geschichte des Landes. Neben dem Staatskonzern Antonov meldeten auch Banken, Telekom, Post, ein Stromnetzbetreiber, der Kiewer Flughafen und die Regierung Probleme mit ihren Computernetzwerken.

Die ukrainische Zentralbank warnte am Dienstag in Kiew vor einer Attacke mit einem “unbekannten Virus”. Auch der Internetauftritt der Regierung war betroffen. Kunden der staatseigenen Sparkasse wurden an Geldautomaten anderer Banken verwiesen. In den Filialen fänden nur Beratungen statt, hieß es. Mindestens vier weitere Banken, drei Energieunternehmen, die staatliche Post sowie ein privater Zusteller seien ebenso betroffen. Auch die Eisenbahn und der größte Flughafen des Landes, Boryspil, berichteten von Problemen. Die Webseiten mehrerer Medienunternehmen funktionierten ebenfalls nicht mehr. Bei der Polizei gingen bis zum Nachmittag 22 Anzeigen ein, darunter auch von mindestens einem Mobilfunkanbieter.

Tschernobyl: Manuelle Radioaktivitätsmessungen

Auch in der Sperrzone rund um das 1986 havarierte Atomkraftwerk Tschernobyl nahe Pripyat hat die Cyber-Attacke Folgen. Da man temporär die Windows-Systeme abschalten musste, werden Radioaktivitätsmessungen derzeit manuell vorgenommen. Diese dienen dazu, das unerwartete Entweichen von Strahlung zu erfassen.

Seit vergangenem Jahr steckt der Reaktor unter einer Stahlhülle, nachdem der ursprüngliche Sarkophag aus Beton brüchig geworden ist. Alle technischen Systeme der Überwachungsstation sollen aber normal funktionieren.

“Wir bewerten gegenwärtig die Lage”

Rosneft sprach bei Twitter von einer “massiven Hacker-Attacke”. Die Ölproduktion sei aber nicht betroffen, weil die Computer auf ein Reservesystem umgestellt worden seien. Auch die Tochterfirma Baschneft wurde in Mitleidenschaft gezogen. Maersk erklärte bei Twitter, IT-Systeme diverser Geschäftsbereiche seien an verschiedenen Standorten lahmgelegt. Weitere Details gab es zunächst nicht.

grafik: kaspersky
Die Infektionsrate weist eine sehr klare regionale Verteilung auf.

Der Schweizer Nahrungsmittelkonzern Mondelez International erklärte, Mitarbeiter in verschiedenen Regionen hätten technische Problem. Es sei unklar, ob dafür Cyber-Angriffe verantwortlich seien. “Wir untersuchen die Sache”, erklärte eine Firmensprecherin. Der französische Baukonzern Saint Gobain erklärte ebenfalls, Opfer eines Angriffs geworden zu sein, ebenso der britische Werberiese WPP. Die weltgrößte Reederei A. P. Moller-Maersk schloss einen weltweiten Ausfall ihres Computersystems nicht aus, nachdem etwa in Großbritannien und Irland Probleme bekannt wurden. “Wir bewerten gegenwärtig die Lage”, erklärte Maersk via Twitter.

Deutsche Unternehmen sind ebenfalls betroffen, berichtet das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn. Es rief betroffene Unternehmen und Institutionen auf, Sicherheitsvorfälle dem BSI zu melden und nicht auf Lösegeldforderungen einzugehen. Um welche Unternehmen es dabei konkret geht, teilte das BSI nicht mit. Der NDR hatte zuvor berichtet, dass dabei auch das Computersystem des Beiersdorf-Konzerns attackiert worden sei.

Mittlerweile ist eine Lösegeldzahlung aber ohnehin nicht mehr möglich: Die von den Erpressern als Kontakt angegebene E-Mail-Adresse funktioniert nämlich nicht mehr.

Windows

Mitte Mai hatte die “Wanna Cry”-Attacke hunderttausende Computer in mehr als 150 Ländern mit dem Betriebssystem Windows betroffen. Infiziert waren vor allem Rechner von Verbrauchern – aber auch Unternehmen wie die Deutsche Bahn und Renault waren erpresst worden.

Updates einspielen.

Dass die neue Angriffswelle ähnlich “erfolgreich” ist, demonstriert aber auch, wie nachlässig viele Unternehmen beim Einspielen von sicherheitsrelevanten Updates sind. Wurden die genutzten Windows-Lücken doch von Microsoft bereits im März geschlossen. Wer sein Windows-System auf dem aktuellsten Stand hält, ist durch die aktuellen Attacken also nicht gefährdet. (apo, fsc, red, APA, 27.6.2017)

http://derstandard.at/2000059894458/Cyber-Attacken-auf-Banken-und-Unternehmen-in-Russland-und-der?ref=rss

Tagged