ESET Analyse zu Not Petya/Diskcoder.C Verbreitung

Publiziert am 6. Juli 2017 von Günter Born

Vor einer Woche traf eine neue Cyberattacke der Ransomware NotPetya eine Reihe Firmen bzw. Windows-Systeme. Der europäische Security-Software-Hersteller ESET hat die Malware analysiert und einige Informationen bereitgestellt.

Anzeige

Ein Rückblick

Die Cyberattacke der Ransomware NotPetya, die von ESET als Win32/Diskcoder.C erkannt wird, hat zwar nur gut 20.000 Systeme betroffen (siehe Neues zu Petya: Zahl der Infektionen, Ziele und mehr …). Aber die Schäden sind teilweise gigantisch.

  • So kam der Hafenbetrieb in Bombay (Mumbai) in Indien für einen Tag wohl komplett zum Stillstand. Hintergrund ist wohl, dass die dänische Firma AP Moller-Maersk, die von der Attacke besonders betroffen war, das Terminal am Hafen betreibt. Details finden sich hier.
  • Einem Tweet der Firma AP Moller-Maersk ist zu entnehmen, dass man immer noch daran arbeitet, die Schäden zu beheben.
  • Beim Hersteller Mondelez steht seit einer Woche die Produktion von Milka-Schokolade still, wie der Tagesspiegel hier berichtet.
  • Der Reinigungsmittelhersteller Reckitt Benckiser (Sagrotan etc.) verzeichnet durch Ausfall von Systemen einen Umsatzrückgang für das zweite Quartal, wie heise.de hier berichtet.

Inzwischen hat die Polizei in der Ukraine wohl die Server beschlagnahmt, auf denen die Updates für die Software M.E.Doc kompromittiert wurden. Es deutete sich an, dass wohl erneut Vorbereitungen für einen Angriff getroffen wurden, wie z.B. heise.de hier berichtet. Dort wird auch thematisiert, dass die Angreifer angeblich 250.000 Euro für die Datenrettung haben wollen. Scheint aber eine windige Geschichte zu sein, gehen Sicherheitsforscher doch davon aus, dass sich die Daten eher nicht restaurieren lassen.

Neues zum Verbreitungsweg

Im ESET-Dokument gibt der Sicherheitsanbieter noch ein paar Einblicke, wie sich der Trojaner NotPetya verbreiten konnte. So wurde die vor allem in der Ukraine verbreitete Buchhaltungssoftware M.E.Doc als Ursprung der Attacke identifiziert. Bei der Analyse der Backdoor, die die Cyberkriminellen in die Software einschleusten, konnte ESET neue Erkenntnisse über die Verbreitung der Malware (von ESET als Win32/Diskcoder.C bezeichnet) gewinnen.

Die Hacker zeigen tiefes Verständnis des verwendeten Programms, denn die ESET Analyse der Backdoor in M.E.Doc zeigt, dass die Hacker ihren Angriff sorgfältig planten und ausführten. Um die Sicherheitslücke in das Programm einzuschleusen, müssen sie sich Zugriff zum Quellcode des Programms verschafft und sich ausführlich mit ihm befasst haben.

Außerdem erlangten sie Zugriff auf den Server, über den die Software bereitgestellt wurde. Ohne aktives Zutun der Opfer wurden so immer wieder infizierte Updates auf den Rechnern der Nutzer von M.E.Doc installiert. Offenbar war dieser Angriff von langer Hand vorbereitet. Erste infizierte Updates der Bibliothek ZvitPublishedObjects.dll wurden bereits am 14. April verbreitet. Zwei weitere Updates mit integriertem Trojaner folgten. am 15 Mai und am 22. Juni. Durch legitime Updates der M.E.Doc-Software wurden die Trojaner wohl immer wieder überschrieben. Dadurch scheint die Verbreitung der Malware eingedämmt worden zu sein.

Über das interne Nachrichtensystem des Programms versendeten die Hacker darüber hinaus Phishing-Nachrichten an weitere Opfer. Zudem verbreitete sich die Malware über VPN-Verbindungen in den Unternehmen, die M.E.Doc nutzen, intern sowie bei ihren Kunden und Geschäftspartnern. Genau diese beiden letztgenannten Verbreitungswege waren mir bisher unbekannt.

Über eine Backdoor in der modifizierten DLL konnten die Angreifer Informationen und Dateien von den infizierten Rechnern an eigene Server hochladen und weitere Schadsoftware nachladen. In Folge kam es dann bei allen Systemen, die im Netzwerk eines infizierten Rechners aktiv waren, zu einer Infektion mit der Backdoor. Der Ratschlag ist daher, alle Rechner, die während der Infektion im Netz aktiv waren, abzuschalten und zu säubern.

Angriff den TeleBots zuzuschreiben

Ich hatte es in einem früheren Beitrag angesprochen: Es wurde die Hackergruppe Telebots als Urheber vermutet. Auch ESET adressiert diesen Ansatz. Bei der Analyse der Malware erkannten die ESET Forscher zahlreiche Parallelen zu früheren Angriffen. Eine Längsschnittanalyse legt nahe, dass der Cyberangriff der Hackergruppe TeleBots zuzuschreiben ist. Diese ist unter anderem für die Linux-Version der KillDisk-Malware verantwortlich und verübte Angriffe auf zahlreiche ukrainische Unternehmen, darunter Finanzinstitute und kritische Infrastruktureinrichtungen. Zudem konnte der Gruppe eine Verbindung zu den berüchtigten BlackEnergy-Hackern nachgewiesen werden, die für die Stromausfälle im Dezember 2015 in der Ukraine verantwortlich waren.

Anzeige

Eine ausführliche Analyse der TeleBots-Gruppe steht unter ESET-Analyse von TeleBots listiger Backdoor zur Verfügung. Eine Zusammenfassung lässt sich bei heise.de nachlesen.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.