Nach dem Ausbruch des WannaCry-Virus im Mai 2017 und den riesigen Schadenssummen, die sich daraus für befallenen Unternehmen ergaben, kam nur kurz darauf im Juni 2017 mit NotPetya die zweite Welle von Ransomware mit verheerenden Auswirkungen. Wir untersuchen den Hergang des Angriffs und seine Auswirkungen auf Unternehmen. Außerdem stellen wir eine Theorie zu den Urhebern des Angriffs vor und beleuchten die Frage, welchen Präzedenzfall das Ereignis in Bezug auf Cyber-Versicherungen schafft. Schließlich geben wir noch praxistaugliche Hinweise dazu, wie man sich vor dieser Attacke schützen kann.

NotPetya’s Verbreitung

Am 27.06.2017 begann die Ransomware NotPetya, eine modifizierte Version der im Jahr 2016 entdeckten Schadsoftware Petya, sich auszubreiten und befallene Computer durch starke asymmetrische Kryptographie zu verschlüsseln. Wie bei WannaCry wurde dabei die EternalBlue-Schwachstelle im Windows SMB-Dienst ausgenutzt, damit sich der Wurm selbstständig über das Netzwerk ausbreiten konnte. Anfällig war vor allem der SMBv1-Dienst, der durch speziell angefertigte Pakete dazu gebracht werden konnte, beliebige Programmcodes auf dem Zielsystem auszuführen.

Benachrichtigung von NotPetya, dass das System verschlüsselt wurde

Bildquelle: heise.de

Es wird davon ausgegangen, dass der Angriff mit dem Hack von MeDoc, einem ukrainischen Entwickler für Buchhaltungs- und Steuersoftware, begann. Die Eindringlinge hatten über einen Zeitraum von mehreren Wochen Zugriff auf die internen Systeme und konnten den Updatemechanismus dafür missbrauchen, um die Schadsoftware zu verteilen. Die Software von MeDoc lief vor dem Angriff auf geschätzen 1 Mio. Rechnern in der Ukraine. Mit einem automatischen Software-Update der MeDoc-Software wurde die Malware am 27.06.2017 an Klienten verteilt und breitete sich danach weltweit rasant aus. Die Schadsoftware verschlüsselte nicht nur wertvolle Daten, sondern überschrieb teils auch wichtige Systemkomponenten, so dass Systeme dauerhaft beschädigt wurden. Daher schreibt man NotPetya eher einen “Wiper”-Charakter zu mit dem Ziel, Daten zu zerstören. Im Gegensatz dazu zielt Crypto-Ransomware auf Lösegeldzahlungen ab. Sicherheitsforscher fanden heraus, dass der Trojaner die schadhaften Tätigkeiten unterlässt, wenn man eine Datei mit speziellem Namen an einen betimmten Ort auf dem Computer legt. Diese Datei verhindert allerdings nicht die weitere Verbreitung des Virus von diesem Rechner ausgehend. Dies beleuchten wir ausführlicher in der Beschreibung der Schutzmaßnahmen.

Auswirkungen

NotPetya breitete sich wurmartig aus und verseuchte dadurch binnen weniger Tage hunderttausende Windows Systeme. Unter den Opfern sind auch namhafte Firmen:

Über mehrere Wochen hinweg beeinträchtigte NotPetya den Betrieb der Reederei so stark, dass teilweise Schiffe weder gelöscht, noch beladen werden konnten. Hier belief sich der Gesamtschaden auf bis zu 300 Millionen US-Dollar. Maersk arbeitete zehn Tage lang ausschließlich analog.

Das US-Pharmaunternehmen Merck fuhr einen Umsatzverlust von ca 2% ein, der Quartalsumsatz verringerte sich von 10,53 Milliarden auf 10,33 Milliarden US-Dollar.

Der Reinigungsprodukte- und Haushaltswarenhersteller Reckitt Benckiser hatte durch die Folgen von NotPetya einen Umsatzrückgang von 2% zu verzeichnen. Der Geschäftsbetrieb war über mehrere Wochen gestört.

In einer Milka-Fabrik des Unternehmens Mondelez fiel über eine Woche lang der Betrieb aus, die Störungen hielten mehrere Wochen an.

Insgesamt verursachte der Angriff weltweit einen wirtschaftlichen Schaden von über 1 Milliarde US-Dollar und viele Unternehmen hatten über mehrere Wochen mit den Folgen zu kämpfen.

Mutmaßliche Urheber

Man hört immer wieder die Verallgemeinerung, dass „russische Hacker“ hinter digitalen Angriffen stünden. Wir wollen an dieser Stelle nicht in die gleiche Kerbe schlagen, sondern öffentliche Informationen präsentieren. Dabei ist uns wichtig zu betonen, dass es nur sehr schwer möglich ist, Cyber-Attacken bestimmten Ländern zuzuschreiben. Dennoch listen wir hier einige Stimmen zu den Urhebern der NotPetya-Attacke auf.

Der Ukrainische Inlandsgeheimdienst „Sluschba bespeky Ukrajiny (SBU)“ (auf deutsch, Sicherheitsdienst der Ukraine) gab an, Ausrüstung konfisziert zu haben, die mit russischen Agenten und Cyberangriffen in Verbindung gebracht wird. Der SBU sieht Parallelen zu den Angriffen auf den ukrainischen Finanzsektor, den Transport- und Verkehrssektor sowie dem Angriff auf die Energieversorgung im Dezember 2016, der einen Stromausfall in Kiev verursachte.

Die Anschuldigungen wurden von der slowakischen IT-Sicherheitsfirma ESET bekräftigt. Damit liegt die Vermutung nahe, dass der Angriff im Zusammenhang mit dem russisch-ukraninischen Konflikt steht, der durch die Annexion der Krim durch Russland eskaliert ist. Die Malware könnte als Destabilisierungsmaßnahme gegenüber der ukrainischen Wirtschaft und Infrastruktur gedient haben, die allerdings außer Kontrolle geraten ist, da unter den internationalen Opfern auch russische Unternehmen aufgelistet sind, z.B. die Energiekonzerne Rosneft und Gazprom. Der Verschlüsselungsaspekt könnte daher nur plausibler Vorwand gewesen sein, da die von der Malware befallenen Systeme bei der Cyberattacke so beschädigt wurden, dass sie unbenutzbar wurden. Im Februar 2018 erhoben dann auch die USA und die UK Anschuldigungen gegenüber Russland.

Nach den vorangegangenen Angriffen mit mutmaßlich russischem Ursprung, die jeweils um Weihnachten 2015 und 2016 mit der Malware Blackenergy und Industroyer auf die ukrainische Stromversorgung verübt wurden, könnten die Anschuldigungen, dass Russland auch hinter der NotPetya-Attacke steckt, nicht gänzlich aus der Luft gegriffen sein.

Aktuelle Debatte: Trägt die Versicherung den Schaden?

Im Januar 2018 berichtete die Financial Times (link nur über Paywall zu öffnen) darüber, dass der Versicherer Zurich AG nicht für den Schaden bei Mondelez aufkommt. Dort hatte NotPetya ca 1700 Server sowie 25.000 Laptops befallen und damit einen Schaden von etwa 100 Mio. US-Dollar verursacht. Mondelez hatte bei der Zurich  AG eine CyberRisk-Versicherungspolice abgeschlossen. Ihre Zusage einer Zahlung von 10 Mio. US-Dollar für entstandene Schäden hat die Zürich Versicherungsgesellschaft zurückgezogen und weigert sich, die angesetzte Schadenssumme von 100 Mio. US-Dollar zu zahlen. Die Versicherung begründet dies mit einer „feindlichen und kriegerischen Handlung“ als Ursache des Schades, was über eine Kriegsklausel vom Schadenersatz ausgeschlossen sei. Mondelez hat daraufhin Klage eingereicht. Dieser Fall ist der erste seiner Art und und stellt einen Präzedenzfall dar. Hier finden Sie eine deutschsprachige Berichterstattung (ohne Paywall) zu dieser Klage.

Wie Sie sich vor NotPetya schützen können

Obwohl der Zeitpunkt des Ausbruchs schon eine Weile zurückliegt, ist ein erneuter Befall nicht ausgeschlossen. Der Wurm WannaCry, der NotPetya ähnlich ist, hatte es zum Beispiel selbst eineinhalb Jahre nach dem Erscheinen des Windows Patches geschafft, den Chiphersteller und iPhone-Zulieferer TSMC lahmzulegen und dort ca. 150 Mio. US-Dollar Schaden anzurichten. Daher geben wir Ihnen einige Hinweise, wie Sie sich gegen NotPetya, aber auch allgemein gegen Schadsoftware dieser Art schützen können.

Auch wenn dieses Vorgehen in der Automationsinfrastruktur oftmals mit Argwohn betrachtet wird, so beseitigen Patches die tatsächlichen Schwachstellen. Durch Software-Updates können Sie echte Ursachenbehandlung betreiben, nicht nur Symptombekämpfung. Die Windows Patches gibt es seit März 2017, sie beheben mehrere als kritisch eingestufte Lücken, die bei der Verbreitung dieser Schadsoftware genutzt werden. Microsoft selbst sah diese Fehler als so kritisch an, dass sogar das offiziell nicht mehr unterstützte Windows XP ein Update erhielt.

Die Schwachstellen befanden sich im Windows SMBv1-Dienst zum Dateiaustausch. Generell gilt, jede Software enthält Fehler, die unter Umständen ausgenutzt werden können. Falls Sie bestimmte Dienste, in diesem Fall das veralteten SMBv1, nicht tatsächlich benötigen, empfiehlt es sich, diese abzuschalten.

Virenschutz-Programme können dabei helfen, den Befall von Systemen durch Schadsoftware einzudämmen. Hier sollten Sie bei Ihren Komponentenherstellern anfragen, welchen Virenschutz deren Systeme unterstützen und diese damit ausstatten.

Befallene Systeme und die darauf befindlichen Daten können in der Regel als verloren angesehen werden. Nicht nur aus diesem Grund sollten Sie regelmäßige Sicherungen anzulegen, welche sich auch zeitnah wiederherstellen lassen. Die Betonung liegt hier auf zeitnah. In einigen Fällen werden nämlich allein die Sicherungen angelegt, aber kein Wiederherstellungsprozess dafür entwickelt. In Krisensituationen führt das zu unnötigem Mehraufwand und einem erheblichen zusätzlichen Stressfaktor.

Diese Empfehlung ist natürlich situations- und systemabhängig. Sollten Sie allerdings bemerken, dass ein System gerade dabei ist, verschlüsselt zu werden, kann es helfen, dieses herunterzufahren und mit Werkzeugen zur Datenrettung die noch nicht unbrauchbar gewordenen Dateien zu sichern. Zugegeben, das funktioniert bei einer SPS, die einen aktiven Prozess steuert, schlecht. Außerdem ist nicht gewährleistet, dass Sie die Verschlüsselung überhaupt augenfällig erkennen können. Bei NotPetya erscheint zumindest in den ersten Versionen ein „gefakter“ Windows Checkdisk-Dialog. Unter Umständen kann damit auch die Ausbreitung eingedämmt werden.

Die Ausbreitung von Computer-Würmern und Angriffe von Cyber-Kriminellen kann durch Netzwerksegmentierung deutlich eingeschränkt und erschwert werden. Ein Zonenkonzept nach der IEC 62443  ist dafür sehr wirksam. Dabei werden unabhängige Netzwerkbereiche voneinander isoliert und nur die notwendige Datenkommunikation zwischen den Bereichen ist zulässig.

Es gibt diverse Lösungen zur Überwachung des Netzwerkverkehrs, die abnormalen Verkehr und Anomalien erkennen. Diese IDS-Lösungen (Intrusion Detection System) alarmieren die internen IT-Abteilungen frühzeitig beim Auftreten ungewöhnlicher Datenkommunikation.

Bei Untersuchungen der Schadsoftware fanden Sicherheitsforscher heraus, dass diese im System nach bestimmten Dateien sucht und eine Verschlüsselung unterlässt, sobald diese Dateien vorhanden sind. Explizit handelt es sich dabei um Dateien mit den Namen perfc, perfc.dll und perfc.dat im C:\Windows Verzeichnis. Diese Maßnahme gewährleistet unter Umständen aber keinen Schutz mehr gegen neuere Versionen der Schadsoftware, in denen diese Überprüfung nicht mehr stattfindet. Auch wird dadurch nicht die Ausbreitung selbst verhindert.

NotPetya ist eine Schadsoftware, die sich verheerend ausbreitet, die aber leider wohl auch in dieser neuartigen Dimension kein Einzelfall bleiben wird. Die Bedrohungslage nimmt weiter zu, wie der aktuelle BSI-Lagebericht anschaulich zeigt und das gilt ebenso für das Ausmaß der Schäden, die derartige Cyberattacken verursachen. Dabei sind Angriffe wie der mit NotPetya nie wirklich „vorbei“, weil Malware kein programmiertes Ablaufdatum enthält, an dem sie aufhört, sich auszubreiten.

Da mit derartigen Angriffen immer zu rechnen ist, sollten Sie ganzheitliche Sicherheitskonzepte in Ihrem Unternehmen etablieren und Maßnahmen ergreifen, die Ihre IT-Infrastruktur wirksam schützt. Unsere Plattform vermittelt Ihnen einen Überblick und praxisnahe Vorgehensweisen für eine nachhaltige Umsetzung.

Wie relevant ist ein solcher Angriff für Ihr Unternehmen und welche Schäden könnte er anrichten? Die Antworten auf diese Fragen liefert eine Risikoanalyse. In unserem Whitepaper „7 Schritte Richtung Industrial Security“ erfahren Sie, wie Sie in Ihrem Unternehmen Vorsorge treffen können.