Attack on Data: Ransomware

Erst im Juli ging die Hackergruppe REvil (auch bekannt unter Sodinokibi) groß durch die Presse, als sie Millionen von Euro durch Ransomware erpressen konnte. Da diese Problematik sich in zukünftigen Jahren noch verstärken dürfte, werfen wir im folgenden Artikel einen Blick auf zwei der größten Ransomware-Attacken der Geschichte: „WannaCry“ aus dem Jahr 2017 und die Ransomware-Gruppe "Petya", die 2016 und 2017 ihr Unwesen trieb.

Der Erpressungstrojaner Petya hat sich erstmals 2016 über gefälschte Bewerbungs-E-Mails und deren Anhänge verbreitet. Wenn das Programm im Anhang mit Administratorrechten ausgeführt wird, wird die Malware aktiv. Beim nächsten Reboot verschlüsselt Petya die MBR (Master Boot Record), und ein Screen mit Erpressungsnachricht (Abbildung) wird angezeigt. Im April 2016 wurde ein Programm namens hack petya geleaked, welches die Originalversion von Petya unschädlich macht. Die Geschichte könnte an dieser Stelle schon vorbei sein, aber Petya hat sich mittlerweile zu einer Gruppe von Erpressungstrojanern entwickelt. Zwei weitere Ableger sind Mischa und GoldenEye. Durch Programmfehler sind Verschlüsselungen dieser Versionen nicht mehr möglich. Der bisher “erfolgreichste” Ableger von Petya ist NotPetya. Er geht intelligenter vor als seine Vorgänger und bleibt nach der ersten Infektion in einem Netzwerk erst einmal still und verbreitet sich weiter bis er den Domain-Server gefunden hat. In der Ukraine wird die Steuererklärungssoftware me.doc von sehr vielen Unternehmen genutzt. Über den Domain-Server werden diese mit Updates versorgt. Im Juni 2017 schafft es NotPetya eben diesen Domain-Server zu infizieren.

Ab hier geht NotPetya in 3 Schritten vor:

• Erster Infektionsschritt: Mit der Software Mimikatz (2) können Nutzerdaten abgegriffen werden.
• Zweiter Infektionsschritt: EternalBlue sorgt dafür, dass sich der Wurm (3) bis in die Domainserver graben kann.
• Dritter Infektionsschritt: Der eigentliche Kern von Petya wird aktiv. Alle Daten werden verschlüsselt und es wird zu Lösegeldzahlung aufgefordert um seine Daten zurückzubekommen. Der Wurm beschädigte Infrastrukturen von ukrainischen Ministerien und Firmen., inklusive der Verkehrsinfrastruktur und der Tschernobyl-Überwachung. Vordergründig handelt es sich um einen Ransomware-Angriff, also im Wesentlichen um Lösegelderpressung. Nach der Verschlüsselung ist es allerdings nicht mehr möglich die Daten wiederherzustellen, d. h. auch bei Zahlung der Lösegeldsumme bekommt man die Daten nicht zurück. Darum geht man davon aus, dass der Angriff eigentlich auf Zerstörung aus war. Also haben wir es im Grunde genommen nicht mit Ransomware, sondern mit einem Wiper (4) zu tun.

Schaden:

Maersk: 300 Mio US$, eine Woche komplett analog, Domain Controller inklusive aller Backups zerstört. Ein einziger verbleibender Domain Controller in Ghana überlebte dank eines Stromausfalls. FedEx: 300 Mio. US$ Mondelez: 189 Mio. US$, eine Woche kompletter Betriebsausfall Merck: 300 Mio. US$ Gesamtschaden: ca 9 Mrd US$

Als Verschlüsselungswurm hält WannaCry genau, was sein Name verspricht. Er bewegt sich innerhalb eines Netzwerks fort und verschlüsselt einzelne Systeme. Dabei verhält er sich etwas anders als andere Verschlüsselungswürmer. Statt auf einem menschlichen Fehler zu basieren (unbekannten Anhang öffnen, Programm ausführen, …) verschaffen sich die Täter über den Exploit (5) Eternal Blue (6) Zugriff auf Ihren PC und installieren die Schadsoftware aus der Ferne. Die Software verschlüsselt den PC und versucht von hier aus sich im lokalen Netz weiter zu verbreiten. Weiterhin löscht er das Windows Systemwerkzeug vssadmin, wodurch eine Wiederherstellung des Systems durch automatische Backups verhindert wird. Der erste große Angriff im Mai 2017 betraf neben PetroChina, Telefónica, FedEx und der Deutschen Bahn auch die IT-Infrastrukturen des rumänischen Außen- und des russischen Innenministeriums. Eher zufällig hat der 22-jährige Brite Marcus Hutchins die erste Welle aufgehalten. Der junge Botnet-Forscher hat unwissentlich den Killswitch (7) des Wurms betätigt. WannaCry versucht nach jeder neuen Infektion auf eine bestimmte Domain zuzugreifen. Die entsprechende Domain ist zu diesem Zeitpunkt nicht vergeben. Solange die Domain nicht erreichbar ist, verschlüsselt WannaCry das befallene System und verbreitet sich weiter. Ist die Domain aber aktiv, verschlüsselt der Wurm das System nicht und verbreitet sich auch nicht weiter. Als Marcus Hutchins die betreffende Domain für ca. 9 Euro kauft, werden die ersten Infektionsherde also gestoppt. Die bisher noch unbekannten Angreifer bemühen das Botnet Mirai (8), um die Domain mit Datenmüll zu attackieren. Dieser Angriff sollte den Breakdown des Servers zur Folge haben, sodass WannaCry sich weiter verbreiten kann. Um die Domain online zu halten, musste der Datenstrom großflächig umgeleitet werden. Geht die Domain down, kann sich der Wurm weiter verbreiten. Hutchins Arbeitgeber, Cloudflare und Amazon Web Services springen ein und stellen Serverkapazität zur Verfügung. Nach einigen Tagen ist der Angriff überstanden und WannaCry wurde gestoppt. Am Ende hat ein junger Informatiker mit der Unterstützung großer Unternehmen das Internet vor größerem Schaden durch WannaCry bewahrt. Ein zweiter Angriff einer Variante von WannaCry erfolgte 2018 auf die Taiwan Semiconductor Manufacturing Company. Über 10.000 infizierte Systeme sorgten für einen Produktionsstopp und eine mittelfristige Halbleiter-Knappheit, da TSMC Hauptzulieferer für Apple ist.

(1) Ransomware: Schadsoftware, die das Zielsystem verschlüsselt und z.B. nach Lösegeldzahlung wieder entschlüsselt wird. (2) Mimikatz: Open Source Programm, welches zwischengespeicherte Anmeldeinformationen aus Windows auslesen kann. (3) Wurm: Schadsoftware, die sich in einem System einnistet, sich selbst vervielfältigt und weitere Systeme z.B. über ein lokales Netzwerk befällt. Dies geschieht meist in exponentieller Zeit. (4) Wiper: Schadsoftware, die die Festplatte löscht. (5) Exploit: Programm, welches eine Sicherheitslücke im Zielsystem ausnutzt. Meist soll Kontrolle über das Ziel gewonnen werden. (6) Eternal Blue: Exploit, der einen Programmierfehler in der Windows-Implementierung ausnutzt. Am Patchday im März 2017 wurde die zugehörige Lücke geschlossen. (7) Killswitch: Notausschalter für Malware (8) Mirai: Programm, welches Bot-Nets aufbaut. Das ursprüngliche Mirai-Bot-Netz umfasste 2016 ca. 500.000 Geräte.