zurück zum Artikel

Cyber-Attacke NotPetya: Angebliche Angreifer wollen 250.000 Euro für Datenrettung

Cyberattacke NotPetya: Angebliche Angreifer wollen 250.000 Euro für Datenrettung

Die mutmaßlichen Entwickler der Schadsoftware NotPetya wollen gegen 100 Bitcoin (fast 250.000 Euro) einen Schlüssel herausgeben, mit dem die Daten zu retten sein sollen. Ob sie Wort halten, ist unklar. Beobachter vermuten andere Motive hinter der Wendung.

Die Macher der Malware NotPetya wollen offenbar gegen 100 Bitcoin (derzeit rund 245.000 Euro) den Schlüssel herausgeben, mit dem Opfer die meisten ihrer Daten entschlüsseln können – offenbar mit Ausnahme des irreversibel beschädigten MBR. Das zumindest geht aus einem anonymen Statement hervor, das der Kaspersky-Forscher Aleks Gostev entdeckt und über Twitter öffentlich gemacht hat [1]. Zuvor hatte er beobachtet, dass die bisher von den NotPetya-Entwicklern eingesammelten Bitcoin [2] abgezogen und unter anderem dafür genutzt wurden, Platz für solch ein Statement anzumieten. Sollte das Versprechen nun stimmen, könnte es für die Opfer der Angriffswelle [3] doch noch einen Weg geben, verloren geglaubte Daten zu retten. Dafür gibt es aber keinerlei Garantie.

Mehr Infos

In dem Statement wird aber keine Adresse genannt, an die das nun geforderte Lösegeld überwiesen werden soll. Geliefert wird lediglich der Link zu einem Chatroom, um Kontakt aufzunehmen. Bislang gibt es deswegen auch keine Bestätigung, dass die Verfasser des Statements tatsächlich hinter NotPetya stecken. Laut [9] Motherboard meint der Sicherheitsforscher Matt Suiche, den Hackern gehe es mehr darum, Journalisten zu trollen. Es sei ein klarer Versuch, die Öffentlichkeit hinsichtlich der Einordnung des Hackerangriffs [10] weiter zu verwirren. Immerhin wäre NotPetya damit – anders als Suiche analysiert hatte [11] – doch ein Erpressungstrojaner. Nur dass er nicht wie bekannte Vorgänger auf unzählige vergleichsweise geringe Beträge sondern einen massiven Betrag aus sei (sie dürften davon ausgehen, dass der Schlüssel nach der Weitergabe öffentlich gemacht wird).

Unterdessen hat die Cybercrime-Abteilung der ukrainischen Polizei Server der Firma beschlagnahmt, von denen aus sich die Cyberattacke ausgebreitet hatte [12]. Es seien "neue Aktivitäten" beobachtet worden, zitiert [13] die Nachrichtenagentur AP die sogenannte Cyberpolizei. Demnach scheint es Hinweise darauf gegeben zu haben, das von den Servern für die Steuersoftware MeDoc ein neues Update versendet wurde oder bald werden sollte, das weiteren Schaden hätte anrichten können. Unklar sei, wie die Hacker immer noch Zugriff auf die Systeme von MeDoc haben können, wo doch seit Tagen internationale Aufmerksamkeit auf dem Unternehmen ruht, dessen Software wohl zur Verbreitung der Malware benutzt wurde.

Das Unternehmen selbst hat sich demnach auf Facebook mehrmals geäußert und Vorwürfe zurückgewiesen, unzureichende Sicherheitsmaßnahmen hätten zur raschen Ausbreitung der Cyberattacke beigetragen. Laut AP hat ein Polizeivertreter nichtsdestotrotz bereits versichert, dass die Besitzer von MeDoc vor Gericht gebracht würden. Festnahmen habe es aber noch keine gegeben. Sicherheitsforscher hatten festgestellt, dass die heftige Angriffswelle der NotPetya-Malware über die MeDoc-Software erfolgte, die Unternehmen nutzen müssen, die in der Ukraine steuerpflichtig sind. Wie groß der dabei entstandene Schaden ist, lässt sich derzeit noch nicht ermitteln.

Getroffen wurde unter anderem der Nahrungsmittelriese Mondelēz, weswegen seit Tagen keine Milka-Schokolade produziert werden kann, wie der Tagesspiegel berichtet [14]. Für Beiersdorf (Nivea, Tesa, Eucerin) war der Angriff der folgenschwerste Hackerangriff überhaupt, berichtet der Stern. Weltweit sei in den 17 Fabriken des Unternehmens viereinhalb Tage lang nichts mehr gegangen. Massiv betroffen war offenbar auch die dänische Reederei Maersk, die mehr als eine Woche nach dem Angriff immer noch daran arbeitet [15], die Schäden vollständig zu beheben. (mho [16])


URL dieses Artikels:
http://www.heise.de/-3764208

Links in diesem Artikel:
[1] https://twitter.com/codelancer/status/882371454108450816
[2] https://www.heise.de/meldung/Petya-Attacke-Posteo-sperrt-E-Mail-Adresse-der-Angreifer-3757283.html
[3] https://www.heise.de/meldung/Rueckkehr-von-Petya-Kryptotrojaner-legt-weltweit-Firmen-und-Behoerden-lahm-3757047.html
[4] https://www.heise.de/meldung/Cyber-Attacke-Petya-NotPetya-Neue-Einblicke-in-die-perfide-Verbreitungsmasche-3763750.html
[5] https://www.heise.de/meldung/Ukrainischer-Geheimdienst-vermutet-Russland-hinter-Petya-NotPetya-Attacke-3760816.html
[6] https://www.heise.de/meldung/Petya-NotPetya-Kein-Erpressungstrojaner-sondern-ein-Wiper-3759293.html
[7] https://www.heise.de/meldung/Alles-was-wir-bisher-ueber-den-Petya-NotPetya-Ausbruch-wissen-3757607.html
[8] https://www.heise.de/meldung/Rueckkehr-von-Petya-Kryptotrojaner-legt-weltweit-Firmen-und-Behoerden-lahm-3757047.html
[9] https://motherboard.vice.com/en_us/article/8xagk4/hackers-connected-to-notpetya-ransomware-surface-online-empty-bitcoin-wallet
[10] https://www.heise.de/meldung/Ukrainischer-Geheimdienst-vermutet-Russland-hinter-Petya-NotPetya-Attacke-3760816.html
[11] https://www.heise.de/meldung/Petya-NotPetya-Kein-Erpressungstrojaner-sondern-ein-Wiper-3759293.html
[12] https://www.heise.de/meldung/Petya-Attacke-oder-NotPetya-Erstes-Angriffsziel-offenbar-in-der-Ukraine-3757496.html
[13] https://apnews.com/fbb32bb07f7047ba945360e8cbd522cf
[14] http://www.tagesspiegel.de/wirtschaft/wegen-erpressersoftware-petya-milka-fabrik-steht-seit-einer-woche-still/20013388.html
[15] https://twitter.com/Maersk/status/882338519301201921
[16] mailto:mho@heise.de