Dieser Browser wird nicht mehr unterstützt

Bitte wechseln Sie zu einem unterstützten Browser wie Chrome, Firefox, Safari oder Edge.

Schnellauswahl

Cyber-Attacke Petya war kein Erpressungstrojaner - sondern Schlimmeres

imago/ITAR-TASS
  • Drucken

Der vermeintliche Kryptotrojaner entpuppte sich nach genauerer Untersuchung als sogenannter "Wiper", der nur Zerstörung zum Zweck hat. Experten vermuten eine Ablenkungsaktion von einem Staat.

Nur sechs Wochen nach der weltweiten Hacker-Attacke "Wanna Cry", die sensible Systeme lahmlegte, störte Petya einige wichtige Daten und Unternehmen. Die anfängliche Annahme, dass es sich um einen Kryptotrojaner handle, der die angegriffenen Daten nach Bezahlung wieder freigibt, stellt sich nun als Fehlannahme heraus. Petya ist laut Sicherheitsunternehmen Kaspersky viel schlimmer. Die Cyber-Attacke ist ein Wiper, der als einziges Ziel hat, Daten zu verschlüsseln und zu zerstören.

Petya ist auf den ersten Blick ein klassischer Erpressungstrojaner. Der PC lässt sich nicht mehr hochfahren und es erscheint ein stilisierter Totenkopf. Der User erfährt somit, dass seine Daten verschlüsselt sind und er bezahlen muss, um sie wieder zu bekommen. So weit, das bekannte Vorgehen. Doch ein genauerer Blick von Matt Suiche, Gründer von Comae und seines Zeichens Hacker, deckte auf, dass es markante Unterschiede gibt zur Urform von Petya, die sich erstmals 2016 blicken ließ. Kaspersky stützt diese Annahme, denn auch das Unternehmen hat in seinen Untersuchungen ein entscheidendes Detail nicht gefunden. Die Installations-ID, mit der der Freigabe-Schlüssel erstellt werden kann, fehlt. Normalerweise müssen diese Installations-IDs an die Angreifer verschickt werden, um die Daten wiederherzustellen. Die Angreifer können den Decryption Key mit ihrem dazugehörigen Schlüssel extrahieren.

Das zeigt einerseits, dass auch ein Bezahlen der Lösegeldforderung keinen Sinn hat und, dass es den Hackern nicht um finanzielle Bereicherung ging. Außerdem ist laut Experten auffällig, dass Angreifer nur eine einzige Bitcoin-Adresse für das Einbezahlen der Lösegeld-Summe verlangen. Für Suicha sei das damit ganz klar keine Aktion von Hackern gewesen, sondern eine staatlich gelenkte Aktion. Es sollte nur den Anschein machen, dass Hacker dahinter steckten.

Vielmehr ähnelt Petya einem anderen Wiper, der vor fünf Jahren als Shamoon die Runde machte und vornehmlich Energiekonzerne in Saudi Arabien und Katar im Visier hatte.

>>> Kaspersky.

>>> Comae.

 

 

(bagre)