Nachdem WannaCry bereits im Mai 2017 ausgebrochen ist und für riesige Schadenssummen bei befallenen Unternehmen gesorgt hat, kam mit NotPetya kurz darauf im Juni 2017 die zweite Welle Ransomware mit verheerenden Auswirkungen. Wir untersuchen den Hergang des Angriffs, seine Auswirkungen auf Unternehmen, stellen eine Theorie zu dessen Urhebern vor und welchen aktuellen Präzedenzfall in Bezug auf Cyber-Versicherungen der Vorfall schafft. Zum Schluss geben wir noch Hinweise, wie man sich vor dieser Attacke schützen kann.

NotPetya’s Verbreitung

Am 27.06.2017 begann sich die Ransomware NotPetya, eine modifizierte Version der im Jahr 2016 entdeckten Schadsoftware Petya, auszubreiten und befallene Computer durch starke asymmetrische Kryptographie zu verschlüsseln. Wie bei WannaCry wurde dabei die EternalBlue Schwachstelle im Windows SMB-Dienst ausgenutzt, damit sich der Wurm selbstständig über das Netzwerk ausbreiten konnte. Anfällig war vor allem der SMBv1-Dienst, der durch speziell angefertigte Pakete zur Ausführung beliebigen Programmcodes auf dem Zielsystem gebracht werden konnte.

Benachrichtigung von NotPetya, dass das System verschlüsselt wurde

Bildquelle: heise.de

Es wird davon ausgegangen, dass der Angriff mit dem Hack von MeDoc, einem ukrainischen Entwickler für Buchhaltungs- und Steuersoftware, begann. Die Eindringlinge hatten über einen Zeitraum von mehreren Wochen Zugriff auf die internen Systeme und konnten den Updatemechanismus dazu missbrauchen, die Schadsoftware zu verteilen. Die Software von MeDoc lief vor dem Angriff auf geschätzen 1 Mio. Rechnern in der Ukraine. Mit einem automatischen Software Update der MeDoc Software wurde die Malware am 27.06.2017 an Klienten verteilt und breitete sich danach rasant weltweit aus. Die Schadsoftware verschlüsselte nicht nur wertvolle Daten, sondern überschrieb teils auch wichtige Systemkomponenten, sodass Systeme dauerhaft beschädigt wurden. Daher schreibt man NotPetya eher “Wiper”-Charakter als Crypto-Ransomware zu. Sicherheitsorscher fanden heraus, dass der Trojaner die schadhaften Tätigkeiten unterlässt, wenn man eine Datei mit speziellen Namen an einen betimmten Ort auf dem Computer legt. Mehr dazu später in den Schutzmaßnahmen. Die Verbreitung ausgehend von diesem Rechner wird dennoch weiter durchgeführt.

Auswirkungen

NotPetya breitete sich wurmartig aus und verseuchte dadurch binnen weniger Tage hunderttausende Windows Systeme. Einige der namhaftesten Opfer sind die Folgenden:

Über mehrere Wochen hinweg beeinträchtigte NotPetya den Betrieb so stark, dass teilweise Schiffe weder gelöscht, noch beladen werden konnten. Hier belief sich der Gesamtschaden auf bis zu 300 Millionen US-Dollar. Maersk arbeitete zehn Tage lang analog.

Das US-Pharmaunternehmen Merck fuhr einen Umsatzverlust von ca 2% ein, der Quartalsumsatz verringerte sich von 10,53 Milliarden auf 10,33 Milliarden US-Dollar.

Der Reinigungsprodukte und Haushaltswarenhersteller Reckitt Benckiser erlitt ebenfalls einen Umsatzrückgang von 2% durch NotPetya. Der Geschäftsbetrieb war über mehrere Wochen gestört.

In einer Milka-Fabrik des Unternehmens Mondelez fiel über eine Woche der Betrieb aus, die Störungen hielten mehrere Wochen an.

Insgesamt verursachte der Angriff weltweit einen wirtschaftlichen Schaden von über 1 Milliarde US-Dollar und viele Unternehmen hatten über mehrere Wochen mit den Folgen zu kämpfen.

Mutmaßliche Urheber

In letzter Zeit hört man öfter, dass „russische Hacker“ hinter digitalen Angriffen stehen. Wir wollen an dieser Stelle nicht in die gleiche Kerbe schlagen, sondern öffentliche Informationen präsentieren und auch betonen, dass die Zuschreibung digitaler Attacken zu bestimmten Ländern meist nur schwierig möglich ist. Dennoch, hier die Stimmen zu den Urhebern.

Der Ukrainische Inlandsgeheimdienst „Sluschba bespeky Ukrajiny (SBU)“ (auf deutsch, Sicherheitsdienst der Ukraine) gab an, Ausrüstung konfisziert zu haben, die mit russischen Agenten in Verbindung gebracht wird. Der SBU sieht Parallelen zu den Angriffen auf den ukrainischen Finanzsektor, den Transport- und Verkehrssektor und die Energieversorgung im Dezember 2016, der einen Stromausfall in Kiev verursachte.

Die Anschuldigungen wurden von der slowakischen IT-Sicherheitsfirma ESET bekräftigt. Damit liegt die Vermutung nahe, dass der Angriff im Zusammenhang mit dem russisch-ukraninischen Konflikt steht, der durch die Annexion der Krim von Russland eskaliert ist. Die Malware könnte als Destabilisierungsmaßnahme gegenüber der ukrainischen Wirtschaft und Infrastruktur gedient haben, die allerdings außer Kontrolle geraten ist, da unter den internationalen Opfern auch russische Unternehmen aufgelistet sind, z.B. die Energiekonzerne Rosneft und Gazprom. Der Verschlüsselungsaspekt könnte daher nur als plausibler Vorwand gelten, da die von der Malware befallenen Systeme auf Unbenutzbarkeit beschädigt wurden. Im Februar 2018 erhoben dann auch die USA und die UK Anschuldigungen gegenüber Russland.

Nach den vorangegangenen vermutlich russischen Angriffen jeweils um Weihnachten 2015 und 2016 auf die ukrainische Stromversorgung mit Blackenergy und Industroyer, scheinen die Anschuldigungen, dass Russland im Konflikt mit der Ukraine (Krim) dahinter steckt, nicht ganz aus der Luft gegriffen zu sein.

Aktuelle Debatte: Trägt die Versicherung den Schaden?

Im Januar 2018 berichtete die Financial Times (Vorsicht, Paywall nach wiederholtem Besuch) darüber, dass der Versicherer Zurich AG nicht für den Schaden bei Mondelez aufkommt. Dort hatte NotPetya ca 1700 Server sowie 25.000 Laptops befallen und somit einen Schaden von etwa 100 Mio. US-Dollar verursacht. Mondelez hatte bei der Zurich eine CyberRisk-Versicherungspolice abgeschlossen und zunächst hatte Zurich auch temporäre Entschädigungen im Wert von 10 Mio. US-Dollar zugesagt.

Nun weigert sich Zurich jedoch die angesetzte Schadenssumme von 100 Mio. US-Dollar zu zahlen, da es sich um einen „kriegsähnlichen“ Angriff handelte. Solche Schäden werden nicht durch die Versicherung abgedeckt. Mondelez hat inzwischen Klage eingereicht. Dieser Fall ist der erste seiner Art und wir sind gespannt wie es weitergeht. Hier finden Sie auch eine deutsche Berichterstattung, ohne Paywall.

Wie Sie sich vor NotPetya schützen können

Obwohl der Zeitpunkt des Ausbruchs schon eine Weile zurückliegt, ist ein erneuter Befall nicht ausgeschlossen. Der ähnliche Wurm WannaCry hatte es zum Beispiel selbst eineinhalb Jahre nach dem Erscheinen des Windows Patches geschafft, den Chiphersteller und iPhone Zulieferer TSMC lahm zu legen und dort ebenfalls ca. 150 Mio. US-Dollar Schaden anzurichten. Daher geben wir Ihnen einige Hinweise, wie Sie sich gegen NotPetya, aber auch allgemein gegen Schadsoftware dieser Art schützen können.

Auch wenn dieses Vorgehen in der Automatisierungsinfrastruktur oftmals mit Argwohn betrachtet wird, so beseitigen Patches die tatsächlichen Schwachstellen. Durch Software-Updates können Sie echte Ursachenbehandlung betreiben, nicht nur Symptombekämpfung. Die Windows Patches gibt es seit März 2017 und beheben mehrere als kritisch eingestufte Lücken, die bei der Verbreitung dieser Schadsoftware genutzt werden. Microsoft selbst sah diese Fehler als so kritisch an, dass sogar das offiziell nicht mehr unterstützte Windows XP ein Update erhielt.

Die Schwachstellen befanden sich im Windows SMBv1-Dienst zum Dateiaustausch. Generell gilt, jede Software enthält Fehler, die unter Umständen ausgenutzt werden können. Falls Sie bestimmte Dienste, in diesem Fall das veralteten SMBv1, nicht tatsächlich benötigen, empfiehlt es sich diese abzuschalten.

Virenschutz-Programme können dabei helfen, den Befall von Systemen durch Schadsoftware einzudämmen. Hier sollten Sie bei Ihren Komponentenherstellern anfragen, welchen Virenschutz deren Systeme unterstützen und diese damit ausstatten.

Befallene Systeme und die darauf liegenden Daten können in der Regel als verloren angesehen werden. Nicht nur aus diesem Grund empfiehlt es sich, regelmäßige Sicherungen anzulegen, welche sich auch zeitnah wiederherstellen lassen. Die Betonung liegt hier auf zeitnah. In einigen Fällen werden nämlich allein die Sicherungen angelegt, aber kein Wiederherstellungsprozess dafür entwickelt. In Krisensituationen führt das zu unnötigem Mehraufwand und einem erheblichen zusätzlichen Stressfaktor.

Diese Empfehlung ist natürlich situations- und systemabhängig. Sollten Sie allerdings bemerken, dass ein System gerade dabei ist, verschlüsselt zu werden, kann es helfen, dieses herunterzufahren und mit Werkzeugen zur Datenrettung die noch nicht unbrauchbaren Dateien zu sichern. Zugegeben, das funktioniert bei einer SPS, die einen aktiven Prozess steuert, schlecht. Außerdem ist nicht gewährleistet, dass Sie die Verschlüsselung überhaupt offensichtlich erkennen können. Bei NotPetya erscheint zumindest in den ersten Versionen ein „gefakter“ Windows Checkdisk-Dialog. Unter Umständen kann damit auch die Ausbreitung eingedämmt werden.

Die Ausbreitung von Computer-Würmern und menschlichen Angreifern kann durch Netzwerksegmentierung deutlich eingeschränkt und erschwert werden. Hier bietet es sich an, zum Beispiel nach der IEC 62443 ein Zonenkonzept einzusetzen. Nach diesem werden unabhängige Netzwerkbereiche voneinander isoliert und nur die notwendige Datenkommunikation zwischen den Bereichen ist zulässig.

Es gibt diverse Lösungen mit denen Netzwerkverkehr überwacht wird, sodass abnormaler Verkehr und Anomalien erkannt werden können. Diese Lösungen, auch genannt Intrusion Detection Systeme (IDS), alarmieren die internen IT-Abteilungen frühzeitig bei Auftreten ungewöhnlicher Datenkommunikation.

Sicherheitsforscher fanden durch Untersuchung der Schadsoftware heraus, dass diese im System nach bestimmten Dateien sucht und eine Verschlüsselung unterlässt, sobald diese vorhanden sind. Explizit handelt es sich dabei um Dateien mit den Namen perfc, perfc.dll und perfc.dat im C:\Windows Verzeichnis. Diese Maßnahme gewährleistet unter Umständen aber keinen Schutz mehr gegen neuere Versionen der Schadsoftware, in denen diese Überprüfung nicht mehr stattfindet. Auch wird dadurch nicht die Ausbreitung selbst verhindert.

Wir hoffen, dass Ihnen dieser Beitrag Einblick in eine der bislang verheerendsten Ausbreitungen von Schadsoftware liefert und Sie einige Ansatzpunkte erhalten, wie Sie selbst in Ihrem Unternehmen für mehr Sicherheit sorgen können. Gerne würden wir an dieser Stelle sagen, dass es sich dabei um einen Einzelfall handelt und die Wahrscheinlichkeit für zukünftige Angriffe dieser Art gering ist. Leider sehen die steigende Anzahl digitaler Angriffe und immer größeren werdenden Schäden nicht danach aus, als ob dieser Trend in Zukunft abnehmen würde.

Abschließend möchten wir noch anmerken, dass solche Angriffe nie wirklich „vorbei“ sind. Die wenigsten Malwares haben ein einprogrammiertes Ablaufdatum, nach dem sie sich aufhört zu verbreiten. Wir empfehlen daher, jederzeit mit dem Auftreten von Schadsoftware zu rechnen und entsprechende Maßnahmen zu ergreifen.

Wie relevant ist ein solcher Angriff für Ihr Unternehmen und welche Schäden könnte er anrichten? Die Antworten auf solche Fragen liefert eine Risikoanalyse. In unserem Whitepaper „7 Schritte Richtung Industrial Security“ erfahren Sie, wie Sie in Ihrem Unternehmen Vorsorge betreiben können.