Neue Evolutionsstufe bei Ransomware Was kommt nach WannaCry und Petya?

Petya setzt wie Wannacry auf einen Wurm-basierten Angriff. Allerdings kann er auch Maschinen infizieren, deren Sicherheitslücken eigentlich geschlossen worden sind.

30.06.2017

Tschernobyl, Nivea und Milka betroffen: Der Kryptotrojaner Petya ist brandgefährlich und hat bereits zahlreiche Industrieunternehmen lahmgelegt. Er nutzt dieselbe Sicherheitslücken wie sein Vorgänger WannaCry und infiziert auch vermeintlich geschützte Systeme. Und es ist nicht das Ende der Ransomware-Evolution.

Der Trojaner Wannacry versetzte vor einigen Wochen die IT-Welt in Angst und Schrecken. Nun erweist sich sein Nachfolger Petya als noch gefährlicher. Obwohl insgesamt nicht so viele Rechner betroffen sind wie bei der vorangegangenen Wannacry-Attacke, zeigen die jüngsten Sicherheitsvorfälle vor allem eines auf: Viele Firmen nehmen das Thema IT-Sicherheit immer noch nicht ernst genug. Erneut sind zahlreiche große Konzerne und Industrieunternehmen von der Erpressersoftware betroffen.

Auch deutsche Konzerne betroffen

Zu den Opfern zählen beispielsweise der US-amerikanische Lebensmittelkonzern Mondelez (Oreo und Milka), die dänische Reederei Maersk, der russische Ölkonzern Rosneft oder der Nivea-Hersteller Beiersdorf, um einige zu nennen.

Am schlimmsten traf es aber die Ukraine. Das Netzwerk der Regierung war offline, mehrere Energiekonzerne vermeldeten Probleme und am Flughafen von Kiew kam es ebenfalls zu Beeinträchtigungen. Rund um Tschernobyl musste die Strahlung sogar wieder manuell gemessen werden, da auch dort die Rechner ausfielen.

Petya stiehlt Anmeldeinformationen

Um zu verstehen, wieso Petya zu einer solchen Gefahr werden konnte, braucht es einen kurzen Blick zurück: Der Trojaner Wannacry hat Ransomware vor einigen Wochen auf den nächsten Level gehoben, indem er einen Wurm-basierten Angriff auf Maschinen über eine bestimmte Sicherheitsanfälligkeit eingeführt hat. Nachdem Windows die Lücken im System geschlossen und entsprechende Patches veröffentlicht hatte, glaubte man, die Gefahr gebannt zu haben.

Allerdings fügte Petya der Wurm-basierten Funktionsweise von Wannacry ein neues Element hinzu. Es ermöglicht dem Trojaner, vermeintlich unverwundbare Maschinen ebenfalls zu infizieren. Petya erreicht das, indem es Anmeldeinformationen von infizierten Maschinen stiehlt und sie verwendet, um vollständig gepatchte Maschinen ebenfalls zu befallen. Erschwerend kommt hinzu: Diesmal gab es keinen Notausschalter, der die Attacke so schnell hätte beenden können wie bei Wannacry.

Der hybride Ansatz verstärkt den Einfluss des Angriffs drastisch. Wenn in den Weltkonzernen eine ungepatchte Maschine weitere Tausende ansteckt, steht die Produktion still.

Nächste Evolutionsstufe

„Wir glauben, dass die Vorkommnisse Teil der natürlichen Evolution der Ransomware-Technologie sind, aber auch ein Testlauf für einen viel größeren und ausgeprägteren Angriff in der Zukunft“, meint Steve Grobman, CTO bei McAfee. „Um sich auf die nächste Generation von Ransomware-Angriffen vorzubereiten, ist es zwingend erforderlich, dass Unternehmen alle Systeme gegen bekannte Schwachstellen absichern, eine sichere Architektur schaffen, die fortschrittliche Cyber-Security-Defense-Technologien nutzt und einen umfassenden Back-Up-Plan für ihre Organisation einrichtet“, erläutert Grobman weiter.

Ein großes Risiko lauert in den teils stark veralteten Betriebssystemen, die viele Unternehmen nach wie vor in ihren Produktionsanlagen einsetzen. Inzwischen antiquierte Plattformen für Windows 2000 und XP bedeuten eine immense Sicherheitslücke für die Firmennetzwerke.

„Diese Rechenanlagen werden oft vergessen, weil die grafischen Nutzeroberflächen davon ablenken, dass die Basis ein altes Betriebssystem ist. Dabei ist die Gefahr enorm, hier durch die Cyber-Erpresser einen wirtschaftlichen Schaden bis zum Bankrott zu erleiden“, erklärt Andreas Schlechter, Geschäftsführer des deutschen Security-Dienstleisters Telonic.

BSI warnt: Risiken ernst nehmen

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt die Industrie vor den zunehmenden Bedrohungen durch Malware. „Angesichts der akuten Bedrohungslage rufen wir die Wirtschaft erneut dazu auf, die Risiken der Digitalisierung ernst zu nehmen und notwendige Investitionen in die IT-Sicherheit nicht aufzuschieben“, mahnt BSI-Präsident Arne Schönbohm.

Ein großes Problem ist, dass nicht nur Altsysteme immer wieder von Angriffen bedroht werden, sondern auch aktuelle Windows-Rechner über Schwachstellen verfügen. Da sie oft in internen Netzwerken zum Einsatz kommen, sind meist ganze Firmensysteme betroffen. „Man wird die Kompromittierung eines einzelnen Computers nicht immer verhindern können, aber sie darf nicht zum Ausfall eines ganzen Netzwerks führen“, sagte Schönbohm weiter.

Verwandte Artikel