Fünf bemerkenswerte Eigenschaften dieses Angriffs und fünf Lehren für Anwender
Warum ausgefeilte Angriffe immer leichter werden und warum das Eindringen in Systeme von List + Lohr Kunden schwer bleibt
In den letzten Tagen machte eine Angriffswelle eines Derivates der Schadsoftware Petya Schlagzeilen. Dabei handelt es sich um einen Wiper – eine Unterart der Trojaner. Wiper sind auf das Löschen von Dateien und ganzen Datenträgern aus. Dieser Wiper manipuliert den Datenträger, bringt das Betriebssystem gezielt zum Absturz, setzt sich an dessen Stelle und beginnt, eine Festplattenüberprüfung vorzutäuschen um in dieser Zeit alle Daten zu verschlüsseln.
Petya ist gleich in mehrfacher Hinsicht bemerkenswert.
1. Der Trojaner nutzt eine Schwachstelle, die bisher von der NSA genutzt wurde. Viele, die die Datensicherheit vernachlässigen argumentieren damit, dass ihre Daten für ausländische Geheimdienste ohnehin nicht interessant seien. Darauf kommt es aber nicht an. Fakt ist, dass die NSA Auslandsspionage betreibt und dazu Hintertüren öffnet. Dadurch haben Hacker weniger Aufwand und benötigen weniger Ressourcen und Know-how. Der Kreis derer, die ausgefeilte Attacken reiten können wird größer – und den allerwenigsten geht es dabei um die „nationale Sicherheit“.
Die Lehre: Es gibt einen Unterschied zwischen dem Schwachstellenerzeuger und dem Schwachstellennutzer. Ersterer hat es nicht auf Ihr System abgesehen. Letzterem fehlen die Möglichkeiten, Ihr System anzugreifen. Durch das Zusammenspiel entsteht die Gefahr. Jeden kann es treffen. Viele Cyberkriminelle sind heute in der Lage, ausgefeilte Angriffe auszuführen.
2. Petya geht es laut Presseberichten möglicherweise primär nicht um Bereicherung sondern um die Verbreitung von Chaos. Dafür spricht eine Reihe von Indizien. So ist eine Wiederherstellung der Daten bei näherer Untersuchung des Schadcodes nicht vorgesehen und auch nicht möglich. Zudem verlangen die Täter die manuelle Eingabe langer, zufällig generierter Zeichenketten. Ein an Profit orientierter Täter hätte den Vorgang für das Opfer so einfach wie möglich gestaltet, um an das Lösegeld heranzukommen. Das genutzte Bitcoin-Konto ließ sich zudem leicht sperren und der Geldfluss kappen. Auch das ist ungewöhnlich für eine professionelle Ransomware.
Die Lehre: Es gibt heute mannigfaltige Motive und viel mehr Gelegenheiten, Ihnen direkt oder indirekt Schaden zuzufügen. In vielen Fällen bringt das Zahlen eines Lösegeldes keinen Nutzen.
3. Die Verschlüsselung erfolgte in diesem Fall nicht im Hintergrund im laufenden Betrieb sondern beim Hochfahren. Durch das sofortige Ausschalten des Rechners wären die Daten in diesem Fall möglicherweise zu retten gewesen.
Die Lehre: Sobald Sie realisieren, dass Sie Opfer eines Cyberangriffs geworden sind, trennen Sie den Rechner umgehend vom Stromnetz. Handelt es sich um ein Notebook drücken Sie so lange auf den Ausschalter, bis dieser wirklich aus ist und kontaktieren anschließend uns.
4. Petya nutzt die Installationsroutine einer Software um sich einzuschleusen. Die von uns eingesetzte Lösung von G DATA setzt neben der eigenen zusätzlich die Technologie eines weiteren Anbieters ein, um die Zeit zwischen der Entdeckung und Erkennung eines Virus noch kürzer zu machen.
Die Lehre: Durch Einsatz einer leistungsfähigen Antiviren-Lösung werden diese Angriffe in den meisten Fällen erkannt und verhindert. Je besser die Lösung umso größer ist die Wahrscheinlichkeit, einen Virus schnell zu erkennen. Wir setzen eine besonders leistungsfähige Lösung ein. Wenn Sie unser Managed-AV Angebot nutzen, kümmern wir uns darum, dass Ihr Antivirenschutz permanent aktuell ist.
5. Die Sicherheitslücke war seit Monaten bekannt und konnte geschlossen werden.
Die Lehre: Einmal mehr zeigt sich, wie wichtig es ist, Sicherheitspatches unverzüglich einzuspielen. Wenn Sie unser All-In-Angebot in Anspruch nehmen, managen wir Ihre Systeme und spielen sicherheitskritische Patches unverzüglich ein. Sie bekommen davon nichts mit – und sind ohne Ihr Zutun geschützt.
Quellen:
https://www.gdata.de/blog/2017/06/29839-petya-ist-wieder-zurueck
