Land

Security Blog

NotPetya eventuell nur Pseudo-Ransomware? Ein Update nach Verfügbarkeit weiterer Analysen.

Wie sich nun bei Analysen der Schadsoftware aus mehreren Quellen herausstellt, dürfte es sich bei dieser Kampagne nicht um herkömmliche Ransomware handeln. Die Verteilung und Erstinfektion wurde sehr gezielt über ein in der Ukraine verwendetes Softwarepaket "MeDoc", welches zur Datenübermittlung von Steuerdaten an die lokale Finanz verwendet wird, durchgeführt. Somit kamen die Wurm-Routinen direkt in die Netzwerke der betroffenen Unternehmen. Von dort aus können Sie sich natürlich über verschiedene Kanäle noch immer weiter verbreiten. Dies lässt die Vermutung zu, dass hier bewusst ein Kollateralschaden in Kauf genommen wurde.

Oberflächliche Ähnlichkeiten mit bereits bekannten Malware Petya sollen hier den wahren Grund des Cyberangriffs nach ersten Einschätzungen nur verschleiern. Die Identifikations- und Bezahlroutinen sind nur sehr schlecht umgesetzt - wirklich damit Geld zu verdienen dürfte nie beabsichtigt gewesen sein. Es liegt daher der Schluss nahe, dass gezielt Systeme beschädigt werden sollten und dazu nur der Schein einer Ransomware-Infektion als Ablenkung genutzt wurde.

Durch die Untersuchungen wurde auch ein "Kill-Switch" identifiziert: Ist eine bestimmte lokale Datei vorhanden, wird das System nicht verschlüsselt. Theoretisch ist es also damit möglich, das System hier zu "impfen", um eine Verschlüsselung der Daten zu vermeiden. Dies kann sich aber natürlich durch neue Versionen der Bedrohung sehr rasch ändern und stellt keinen Zuverlässigen Schutz dar.

Eine durchgängiges, lückenloses Update aller im Unternehmen verwendeten Systeme und aktuellste Virenscanner sowie Backup- und Wiederherstellungspläne stellen hier noch immer den bestmöglichen Schutz dar.

Sehen Sie auch den Artikel: https://www.ikarussecurity.com/at/ueber-ikarus/security-blog/neue-massive-angriffswelle-von-auf-basis-weiterentwickelter-ransomware-notpetya/