Kaspersky Lab: kein Kill-Switch-Knopf für neue Erpresser-Viren

  29 Juni 2017    Gelesen: 1471
Kaspersky Lab: kein Kill-Switch-Knopf für neue Erpresser-Viren
Ein Großangriff mit Erpressersoftware hat mehrere Tausend Rechner von Unternehmen weltweit betroffen. Der entstehende Schaden ist immens. Wer steckt hinter diesen Attacken und was ist ihr Ziel? Eine Spur führt in die Ukraine. Sputnik hat nachgefragt bei Christian Funk, Leiter des Forschungs- und Analyseteams der Computerschutzfirma Kaspersky Lab.
Herr Funk, wie sind Ihre ersten Erkenntnisse über diesen neuen Virus, ist er vergleichbar mit vorherigen Attacken? Handelt es sich nun um die Software Petya?

Es handelt sich um einen sehr interessanten Fall. Ransomware ist als Phänomen nicht neu, allerdings befindet sich das seit 2,5 Jahren auf einem Allzeithoch. Bei diesem Fall ist, wie auch schon bei WannaCry vor einem Monat, das Besondere, dass die Ransomware mit einer Wurmkomponente kombiniert wurde. Damit wird die Ransomware nicht einzeln über Email-Anhänge auf den Rechnern platziert, sondern kann sich selbstständig innerhalb eines Netzwerkes weiterverbreiten. Es gibt bei dieser neuen Software eine Ähnlichkeit zum Virus Petya, aber wenn man tiefer in den Code schaut, scheint es sich doch um eine neue Familie zu handeln. Wir nennen die Software erst einmal Ex-Petr.

Wie groß ist das Ausmaß der Attacke?

Wir haben bisher gut 2000 Infektionen registriert. Hinter einer Infektion verbirgt sich jeweils eine IP und da vor allem große Firmen betroffen sind, können hinter einer IP jeweils bis zu mehreren hundert Computer stehen. Der Schwerpunkt liegt in der Ukraine, gefolgt von Russland, Polen, aber auch Deutschland ist dabei auf Rang Fünf.

Zum einen wird eine Software namens Eternel Blue verwendet, die auch schon bei WannaCry Anwendung fand, allerdings ist dies bei dieser neuen Attacke noch um eine Software namens Eternal Romance erweitert worden, was den Verbreitungsfaktor noch einmal vergrößert.

Gibt es schon eine Lösung, den Virus zu stoppen?

Ein sogenannter Kill-Switch, ein Ausschaltknopf ist mir bisher nicht bekannt. Und selbst wenn man gewillt ist zu zahlen, geht das im Moment nicht, da der Email-Betreiber die Inbox der Erpresser zum Überweisen des Geldes offline genommen hat.

Schon bei WannaCry war ja die Ausbeute nicht sehr hoch. Haben diese Attacken einen kommerziellen oder eher einen politischen Hintergrund?

Das ist eine gute Frage. Es wird ja Geld verlangt, wenn auch nur 300 Dollar pro Rechner, was sich ja aber bei einer Firma mit vielen Rechnern auch summieren kann. Wegen des Email-Problems haben die Erpresser so bei dieser Attacke bisher auch nur 9600 Dollar in Bitcoins erbeutet. Und dann haben ja jetzt auch Behörden und die Sicherheitsindustrie weltweit ein Auge auf diese Bitcoin-Adresse. So ist selbst fraglich, ob die Angreifer je an ihr Geld kommen werden.

Ist es korrekt, dass Petya und deren neue Variante wie auch schon WannaCry von der NSA entwickelt wurden?

Es wird zumindest der NSA zugeschrieben. Die beiden erwähnten Exploits Eternel Blue und Eternal Romance wurden von einer Gruppe namens Shadow Brokers geleakt. Durch diese Publikmachung geraten diese Instrumente in die Hände der Cyberkriminellen.

Kann man sich das ungefähr so vorstellen: die NSA erfindet es für ihre Geheimoperationen, Wikileaks oder auch diese Shadow Brokers veröffentlichen den Code und dann können es Hacker auf der ganzen Welt für ihre Zwecke nutzen?

Danach sieht es aus. Aber die Untersuchungen laufen gerade erst an. Wer dahinter steckt, ist bisher unklar. Wir haben ja auch erst Tag Zwei. Wir arbeiten hier beispielsweise auch mit Europol zusammen. Wenn wir Spuren zu den Hintermännern finden, dann kooperieren wir mit den Behörden.

Wie aufwendig ist es, so einen Virus zu verbreiten? Drückt da eine Person einfach auf einen Knopf und los geht’s oder muss da ein großes Team dahinterstecken?

Das kommt ganz drauf an. Bei dieser neuen Attacke ist es wohl so, dass bei einem Angriffsvektor eine wohl in der Ukraine sehr populäre Steuersoftware verwendet wurde, um die Schadsoftware zu verbreiten. Es ist schon ein gewisser Aufwand, erst einmal eine dritte Organisation zu hacken. Es ist auf jeden Fall effektiv, da diese Software und ihre Update-Funktion wohl auch in Nachbarländern wie Russland verbreitet ist.

Wie gefährlich sind solche Attacken und können sie in der Zukunft noch gefährlicher und größer werden und eventuell auch Grundversorgungsanlagen oder vielleicht auch Atomkraftwerke gefährden?

Wie gesagt, der Trend zu Ransomware befindet sich auf einem Allzeithoch. Die Qualität der Angriffe wird dabei immer höher und durch diese neue Kombination mit der Wurmkomponente wird auch die Wirkung durchschlagender. Davor sind auch staatliche Einrichtungen nicht gefeit. Man muss aus diesen Angriffen lernen. In diesem Fall muss man aber auch sehen, dass Schwachstellen ausgenutzt wurden, für die bereits seit März ein Sicherheitspatch von Microsoft vorlag, das aber wohl von den Firmen nicht genutzt wurde.

Quelle. sputniknews.com

Tags:


Newsticker