Zurück zum Newsroom

27 Juni 2017

Mehrere kritische Infrastrukturinstitutionen in der Ukraine bereits offline

Bitdefender hat eine massive Ransomware-Kampagne festgestellt, die sich derzeit weltweit entfaltet. Vorläufige Informationen zeigen: Die Malware, welche für die Infektion verantwortlich ist, ist ein fast identischer Klon der GoldenEye Ransomware-Familie. Zum jetzigen Zeitpunkt (16 Uhr deutscher Zeit) gibt es keine Information über den Ausbreitungsvektor, aber Bitdefender nimmt an, dass er von einer Komponente übertragen wird, welche die Eigenschaften eines Wurms aufweist.





Update vom 28.06. 8:00 WEZ+3



Es verdichten sich die Anzeichen, dass mit der Ransomware-Kampagne #GoldenEye / #Petya keine finanziellen Absichten verfolgt wurden, sondern das Ziel einzig und allein Datenvernichtung ist.

•    Die Entscheidung, die Kommunikation über einen normalen, nur mäßig geschützten E-Mail-Dienstleister zu führen, war, unter dem geschäftlichen Aspekt betrachtet, nicht sehr sinnvoll.

•    Der Prozess, über den die Opfer das Lösegeld bezahlen und den Schlüssel erhalten sollen, ist nicht automatisiert und so kompliziert aufgesetzt, dass es für die Angreifer problematisch wird, ihren Teil des Deals zu erfüllen.

•    Der Vorgang, mit dem der Angegriffene die Zahlung nachweisen soll, ist äußerst benutzerunfreundlich: Der Anwender muss einen extrem langen Code aus Groß- und Kleinbuchstaben als „persönlichen Installationsschlüssel“ + „Wallet“ eingeben, was geradezu nach Tippfehlern schreit.



Update vom 28.06. 6:00 WEZ+3



Die E-Mail-Adresse, über die die Angreifer die Bezahlungsnachweise einsammeln wollten, wurde von Posteo deaktiviert. Dies bedeutet, dass alle im Laufe der Nacht getätigten Zahlungen nicht verifiziert werden können, und die betreffenden Anwender den Dechiffrierschlüssel mit Sicherheit nicht erhalten werden. Nicht, dass wir schon einmal zum Gegenteil geraten hätten, aber wir möchten es nochmals betonen: Falls Sie vorhatten zu bezahlen, lassen Sie es bleiben! Ihre Daten sind so oder so verloren, aber Sie fördern dann nicht noch die Entwicklung neuer Malware. Dennoch wurden noch nach der Deaktivierung der E-Mail-Adresse weitere 15 Zahlungen getätigt. Die Wallet weist durch 40 Zahlungen inzwischen einen Betrag von insgesamt 3,64053686 BTC auf, was einem Netto-Gegenwert von 9.000 US-Dollar entspricht.



Update von 21:30 WEZ+3



In der Branche wurde von mehreren Seiten die Vermutung geäußert, dass es sich bei dem anfänglichen Infektionsvektor um ein manipuliertes Update der Buchhaltungssoftware M.E. Doc gehandelt habe, die bei allen betroffenen Unternehmen im Einsatz ist. Wir konnten allerdings Infektionen bei Unternehmen nachweisen, die nicht mit der genannten Softwarelösung arbeiten. Außerdem hat der Anbieter der Software auf der Seite des Unternehmens in Facebook eine Stellungnahme abgegeben, in der dies dementiert wird [in ukrainischer Sprache].



Update von 20:18 WEZ+3



Mehrere Unternehmen haben inzwischen bestätigt, dass sie Opfer der Ransomware GoldenEye/Petya geworden sind: Das Strahlungsüberwachungssystem von Tschernobyl, die Anwaltskanzlei DLA Piper, das Pharmaunternehmen Merck, eine Reihe von Banken, ein Flughafen, die Metro von Kiew, das dänische Transport- und Energieunternehmen Maersk, der britische Werbe- und Mediendienstleister WPP und der russische Ölkonzern Rosneft. Die Angriffe erstreckten sich auf weite Teile der Ukraine und hatten den staatlichen Energieversorger Ukrenergo und mehrere Bankhäuser des Landes zum Ziel.



Update von 18:45 WEZ+3



Die Initiatoren der Ransomware-Kampagne GoldenEye/Petya haben nach knapp zwei Stunden schon 13 Zahlungen erhalten. Der Wert dieser Zahlungen beträgt 3.500 US-Dollar in digitaler Währung (Bitcoin).



Update von 18:30 WEZ+3



Bitdefender Labs bestätigt, dass die Ransomware GoldenEye/Petya zur Verbreitung von Computer zu Computer den Exploit EternalBlue nutzt. Zur weiteren Ausbreitung kommen auch noch andere Exploits zum Einsatz. Einzelheiten folgen in Kürze.



Ursprüngliche Geschichte:



Im Gegensatz zu den meisten Ransomwares, hat die neue GoldenEye-Variante zwei Schichten der Verschlüsselung: eine, welche die Zieldateien auf dem Computer individuell verschlüsselt und eine andere, die NTFS-Strukturen verschlüsselt. Dieser Ansatz verhindert, dass Opfer ihre Computer in einer Live-Betriebssystemumgebung booten und gespeicherte Informationen oder Samples zurückgewinnen können.

Darüber hinaus hat die Ransomware eine spezialisierte Routine, die den Computer  nach Abschluss der Verschlüsselung abstürzen lässt. Dies löst einen Neustart aus, der den Computer unbrauchbar macht, bis 300 US-Dollar Lösegeld bezahlt sind.

Bitdefender blockiert die aktuell bekannten Samples der neuen GoldenEye-Variante. Computer von Verbrauchern oder Unternehmen, die eine Bitdefender-Sicherheitslösung in Betrieb haben, sind nicht in Gefahr.



JETZT KAUFEN Testversion herunterladen


Kontakte