Nebel
DE | FR
burger
Digital
Malware

NotPetya: Cyberangriff auf die Ukraine – mit Kollateralschaden weltweit

epa06053937 A girl walks past a not working terminal, at main post office of Ukrainian State Enterprise of Posts 'Ukrposhta', after Ukrainian institutions were hit by a wave of cyber attacks ...
Die Windows-Schadsoftware legte in der Ukraine Geldautomaten und sogar Spitäler vorübergehend lahm.Bild: STEPAN FRANKO/EPA/KEYSTONE

Globale Malware-Attacke – Spur führt nach Russland

Der vermeintliche Verschlüsselungstrojaner NotPetya entpuppt sich als mächtiger Cyberangriff auf die Ukraine. Die Angreifer wollten kein Geld, sondern Chaos stiften, und richteten weltweit Kollateralschaden an.
05.07.2017, 15:5028.02.2022, 16:40
Daniel Schurter
Daniel Schurter

Das Wichtigste in Kürze:

  • Die Malware-Attacke vom 27. und 28. Juni 2017, die unter den Bezeichnungen Petya und NotPetya für Schlagzeilen sorgte, war ein Cyber-Angriff auf die Ukraine.
  • Laut übereinstimmenden Erkenntnissen von Sicherheitsexperten war das Schadprogramm keine Ransomware (Verschlüsselungstrojaner), den Angreifern ging es nicht um Lösegeld, sondern darum, viel Schaden anzurichten.
  • In der Ukraine wurden Finanzinstitute, Spitäler und andere öffentliche Einrichtungen vorübergehend lahmgelegt.
  • Den Ursprung hatte der Angriff bei manipulierten Updates einer ukrainischen Buchhaltungs-Software (siehe unten).
  • Über VPN-Verbindungen zu ausländischen Unternehmen verbreitete sich die Malware rund um den Globus.
  • Die Weiterverbreitung in internen Firmen-Netzwerken gelang der Malware unter anderem durch Ausnutzung von Windows-Schwachstellen: Zwei Exploits mit den Namen «EternalBlue» und «EternalRomance», die der US-Geheimdienst NSA entwickelt hat. (Quelle: Avast)
  • Wer hinter dem Angriff steckt, ist nicht bewiesen, allerdings deuten Untersuchungen des Schadsoftware-Codes und der Angriffsmethoden auf staatliche Hacker hin. Respektive auf eine staatlich finanzierte Gruppe, der grosse finanzielle und personelle Ressourcen zur Verfügung stehen.
  • Sicherheitsforscher der slowakischen IT-Sicherheitsfirma ESET konnten angeblich eine Verbindung zu den berüchtigten BlackEnergy-Hackern nachweisen, die die Stromausfälle in der Ukraine im Dezember 2015 verursachten.
  • Die Analyse lege nahe, dass der Cyberangriff der Hackergruppe TeleBots zuzuschreiben sei. Diese sei unter anderem für die KillDisk-Malware (Linux) verantwortlich und habe Angriffe auf zahlreiche ukrainische Unternehmen, darunter Finanzinstitute und andere kritische Infrastrukturen, verübt.
  • Die Experten nennen die Malware nun «Diskcoder.C».
  • Ein ausführlicher Bericht der slowakischen Sicherheitsforscher ist bei welivesecurity.com verfügbar.
  • Das beunruhigende Fazit: Die TeleBots-Gruppe entwickelt ein Waffen-Arsenal, um massive Cyberattacken gegen die Ukraine zu starten. Bei ihrem jüngsten Versuch hätten die Kriminellen die Ausbreitungsfähigkeiten der Software unterschätzt. «Deshalb ist die Malware ausser Kontrolle geraten.»

Perfides Vorgehen

Der jüngste Angriff erfolgte (zunächst) nicht über Phishing-Mails, die von ahnungslosen Angestellten geöffnet wurden und deren Inhalt daraufhin ihre PCs infizierte. Vielmehr drangen die Hacker heimlich in die Server einer ukrainischen Software-Firma ein, die das Buchhaltungsprogramm «M.E.Doc» anbietet. Dann verbreiteten sie ihre Malware in mehreren Angriffswellen über harmlos wirkende Updates an Unternehmen im In- und Ausland.

«Um die Sicherheitslücke in das Programm einzuschleusen, müssen sie sich Zugriff zum Quellcode des Programms verschafft und sich ausführlich mit ihm befasst haben. Ausserdem erlangten sie Zugriff auf den Server, über den die Software bereitgestellt wurde. Ohne aktives Zutun der Opfer wurden so immer wieder infizierte Updates auf den Rechnern der Nutzer von M.E.Doc installiert. Über das interne Nachrichtensystem des Programms versendeten die Hacker darüber hinaus Phishing-Nachrichten an weitere Opfer. Zudem verbreitete sich die Malware über VPN-Verbindungen in den Unternehmen, die M.E.Doc nutzen, intern sowie bei ihren Kunden und Geschäftspartnern.»
quelle: medienmitteilung eset

Ein BBC-Reporter beschreibt in einer am Dienstag veröffentlichten Hintergrund-Story, was im Land passierte. Titel: «Der Tag, an dem eine mysteriöse Cyber-Attacke die Ukraine lähmte».

Wie bei «Mr. Robot»

Die TeleBots-Gruppe verfolgt laut den Sicherheitsforschern keine finanziellen Ziele. Das Sammeln von Lösegeld sei nie an erster Stelle gestanden. Die im Dezember 2016 bei der ersten Angriffswelle verwendet Malware habe gezielt Dateien überschrieben, statt sie zu verschlüsseln. Ferner habe es keine Kontaktinformationen für eine etwaige Kommunikation mit den Angreifern gegeben. Die Malware habe lediglich ein Bild der US-amerikanischen TV-Show «Mr. Robot» gezeigt, respektive das Logo der in der Kultserie vorkommenden Hackergruppe «fsociety».

Bild
bild: eset
UNO-Studie zu Cybersicherheit – Schweiz nur auf Platz 18
Grosse Industriestaaten schneiden bei der Cybersicherheit laut einer UNO-Studie teilweise schlechter ab als deutlich ärmere Staaten. Die Schweiz etwa landet in dem am Mittwoch veröffentlichten Global Cybersecurity Index 2017 der Internationalen Fernmeldeunion (ITU) in der Tabelle auf Platz 18. (Die Studie ist hier als PDF-Dokument verfügbar).

Platz eins geht an Singapur, gefolgt von den USA und Malaysia. Ebenfalls vor der Schweiz finden sich unter anderem Oman, Estland, Mauritius, Georgien, Frankreich, Russland, Japan, Grossbritannien, Südkorea. Indien wird an 23. Stelle und Deutschland an 24. gelistet.

Bewertet wurden eine Vielzahl von Faktoren wie technische und juristische Einrichtungen, Bildungs- und Forschungskapazitäten sowie die Beteiligung am Informationsaustausch. An letzter Stelle der 195 Staaten liegt Äquatorialguinea.

Die Hälfte der Staaten habe nicht einmal eine nationale Sicherheitsstrategie erarbeitet, klagte die ITU. Dies sei aber der entscheidende erste Schritt. Um so wirksam wie möglich zu sein, müssten bei der Cybersicherheit «Gesetze, Organisationen, Fähigkeiten, Kooperation und die technische Umsetzung» harmonieren.
(sda)

Die Vorgeschichte

Cyber-Attacke: Immer mehr Schweizer Firmen betroffen
Petya, WannaCry und andere Erpressungs-Trojaner schlagen zu – so schützt du dich
Analyse
Darum droht allen Internet-Nutzern ein schlimmer Sommer

Das könnte dich auch interessieren:

Anzeige gehackt und mit Trump-Sticheleien versehen

Video: reuters

Viren, Würmer, Trojaner – die bösartigsten Computer-Attacken aller Zeiten

1 / 16
Die bösartigsten Computer-Attacken aller Zeiten
Der Lösegeld-Trojaner «WannaCry» geht als bislang grösste Ransomware-Attacke in die IT-Annalen ein. Früher war aber nicht alles besser, im Gegenteil! Wir zeigen dir eine Auswahl der schlimmsten Malware-Attacken ...
Auf Facebook teilenAuf X teilen
WannaCry - Malware-Attacke auf Windows-User weltweit
Steckt Nordkorea hinter der «WannaCry»-Attacke? Diese Hinweise gibt es
27
Steckt Nordkorea hinter der «WannaCry»-Attacke? Diese Hinweise gibt es
von Daniel Schurter
Schlägt WannaCry erneut zu? – und 7 weitere Fragen zur Cyberattacke
12
Schlägt WannaCry erneut zu? – und 7 weitere Fragen zur Cyberattacke
von Raffael Schuppisser
«WannaCry»-Hackerangriff: 200'000 Computer betroffen – und es wird noch schlimmer
11
«WannaCry»-Hackerangriff: 200'000 Computer betroffen – und es wird noch schlimmer
Cyber-Attacken legen britische Spitäler lahm
Cyber-Attacken legen britische Spitäler lahm
Cyber-Attacke trifft Spitäler, Behörden, Firmen und Private – Renault stoppt Produktion
16
Cyber-Attacke trifft Spitäler, Behörden, Firmen und Private – Renault stoppt Produktion
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.
Themen
Das könnte dich auch noch interessieren:
Du hast uns was zu sagen?
Hast du einen relevanten Input oder hast du einen Fehler entdeckt? Du kannst uns dein Anliegen gerne via Formular übermitteln.
27 Kommentare
Zum Login
user avatar
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
27
Meistgelesen
1
Wahltag in Amerika: Trump droht eine vierfache Pleite
2
Ein bisschen Spass für zwischendurch? Hier entlang!
3
Norwegen testet chinesischen Autobus – und erlebt sein ferngesteuertes Wunder
4
Luftwaffe verliert dutzende Berufsmilitärpiloten
5
Die Demokraten räumen ab – für Trump ist klar, weshalb er verloren hat
Meistkommentiert
1
Das Weisse Haus veröffentlicht Schmäh-Seite gegen die Demokraten
2
Grüne bringen Solarpflicht für Eigenheim-Besitzer vors Volk
3
Alltags-Rezepte, die ich dauernd koche und die kaum 20 Minuten dauern
4
Spioniert die AfD für Russland? Das steckt hinter den Vorwürfen
5
«Ich gehe auch – alles ist vorbereitet»: Superreicher wehrt sich gegen Erb-Initiative
Meistgeteilt
1
USA reduzieren Flugverkehr wegen Shutdown +++ Trump bekräftigt Atomwaffentests
2
Landry bis Ende Saison Trainer von Ambri-Piotta +++ Auslosung für ATP Finals bekannt
3
Diesen Menschen gelangen die besseren Bilder des Supermondes als dir
4
Louvre-Räuber fordert in Nachrichten 8 Millionen Euro für Juwel
5
Mindestens elf Tote bei Brand in Seniorenheim in Bosnien
Europol hilft bei Aufklärung von russischen Kriegsverbrechen – über 650 Männer ermittelt
Die europäische Polizeibehörde unterstützt die moldauische und ukrainische Polizei bei ihren strafrechtlichen Ermittlungen gegen Söldner im Dienste Wladimir Putins.
Die Ermittlungen führten zur Identifizierung von insgesamt 654 Mitgliedern der russischen Söldnerfirmen Wagner und Redut, die an Kampfeinsätzen gegen die Ukraine beteiligt waren. Dies geht aus einer am Freitag veröffentlichten Medienmitteilung hervor.
Zur Story