Was steckt hinter NotPetya?

Innerhalb weniger Wochen gab es gleich zwei Ransomware Angriffe die weltweit für Aufregung sorgten. Die neueste Attacke von NotPetya konnte, laut Antiviren-Hersteller Eset, über Updates einer Steuersoftware verbreitet werden. Die Software ist vor allem in der Ukraine weit verbreitet. 

Bibliothek-MeDoc

Bildquelle: Eset

Die Angreifer schickten Updates der Software MeDoc aus, in denen die Bibliothek um einige Backdoor-Funktionen (rot markiert) erweitert wurde. Dadurch konnten nicht nur Informationen und Dateien abgezogen werden, sondern auch auf Zuruf beliebige Befehle auf den Rechnern der Opfer ausgeführt werden.

Lange geplant

Anscheinend war der Angriff von langer Hand geplant und es wurden bereits am 14. April infizierte Versionen der Bibliothek verbreitet. Da aber die Nutzer in der Zwischenzeit mehrere legitime Versionen von den Entwicklern der Software erhielten, kam es erst am 22.Juni zu einem verspäteten Ausbruch.

Gezielte Angriffe

Die infizierte Software fragte gezielt die EDRPOU-Nummer (ähnlich der USt-IdNr.) ab, die den Unternehmen eindeutig zugeordnet werden kann. So konnten die Angreifer herausfinden ob es sich lohnt, sensible Unternehmensdaten abzuziehen, noch bevor der Trojaner die Dateien verschlüsselt oder wie im Fall von NotPetya formatiert. Über die eingebauten Backdoor-Funktionen konnten auch Mail- und Proxy-Konfigurationen abgefangen werden, darunter eventuell auch Zugangsdaten. Deshalb wird betroffenen Usern geraten die Passwörter für Mail-Accounts und Proxy-Zugänge zu ändern.

Sicherheitsupdates

WannaCry und NotPetya konnten sich auf Rechnern mit älteren Betriebssystemen verbreiten auf denen Sicherheitsupdates nicht installiert wurden. Nachdem die Sicherheitslücke bekannt wurde, hatte Microsoft schon im März Updates für die eigentlich nicht mehr unterstützten Betriebssysteme Windows Vista und XP veröffentlicht. Beim Windows 10 Betriebssystem werden die neuen Updates automatisch heruntergeladen und installiert, sobald sie verfügbar sind. Windows 10 PC waren bei beiden Ransomware-Wellen nicht betroffen. 

Wie können Sie sich schützen?

Installieren Sie gleich die verfügbaren SICHERHEITSUPDATES!
Ransomware kann über die verschiedensten Wege in Ihre Systeme gelangen, per E-Mail, über eine infizierte Website und viele mehr.
Damit Sie vor Angriffen aller Art geschützt sind bieten wir Ihnen ganzheitliche Sicherheitskonzepte, maßgeschneidert auf Ihr Unternehmen. 

Für nähere Informationen oder Unterstützung, kontaktieren Sie uns bitte. 

Weitere Infos:

Alles, was wir bisher über den Petya/NotPetya-Ausbruch wissen

Zurück