- Anzeigen -


Sie sind hier: Home » Markt » Kommentare & Meinungen

Erkennung in Sandbox-Umgebungen vermeiden


Petya oder NotPetya – das ist hier nicht die Frage
Analyse zu möglichen Beweggründen und Zielen der Cyberkriminellen hinter dem aktuellen Fall


- Anzeigen -





Viel wird aktuell (wieder) spekuliert: Welche Art von Ransomware war es nun, die zahlreiche Unternehmen weltweit lahmgelegt hat? Welche Unternehmen waren überhaupt betroffen und welche haben dementiert? War eine Buchhaltungssoftware Schuld an der Verbreitung oder doch nicht? Laut Kevin Magee, Global Security Strategist bei Gigamon, gibt es aber sehr viel interessantere Fragen, vor allem zu den Motiven und Zielen der Angreifer. Er hat sich deshalb die Strategien, Besonderheiten – und vor allem die Ungereimtheiten – hinter der aktuellen Petya/NotPetya-Attacke angesehen und sie analysiert:

"Dieser Angriff – ich nenne ihn der Einfachheit halber ebenfalls NotPetya – ist noch weitaus faszinierender als WannaCry vor einigen Wochen. Wir alle wissen inzwischen, dass es die Exploits aus dem NSA-Dump waren, die auch den aktuellen Angriff ermöglicht haben, allerdings sind die Kriminellen sehr viel geschickter vorgegangen, was die Ausbreitung und die Vermeidung von Entdeckung angeht; der Schadcode kann sich, im Gegensatz zu WannaCry, sehr schnell in einem einmal infizierten Netzwerk ausbreiten – was ihn ungleich gefährlicher macht – und die Malware scheint eine Aktivierungsverzögerung eingebaut zu haben.

Es wird berichtet, dass zwischen der Infizierung eines Systems und dem Aktivwerden der Malware 10 bis 60 Minuten vergehen. Dies lässt darauf schließen, dass die Malware konstruiert wurde, um Erkennung in Sandbox-Umgebungen zu vermeiden – eine gängige Abwehrmaßnahme im Unternehmensumfeld. Das wiederum weist darauf hin, dass NotPetya speziell auf große Konzerne und Unternehmensstrukturen zugeschnitten wurde, nicht auf KMU oder Privatanwender. Die letzteren beiden sind aber diejenigen, die am ehesten das Lösegeld bei Ransomware-Attacken zahlen.

Und da haben wir eine der großen Ungereimtheiten des Falles: Wer auch immer dahinter steckt (mehr dazu weiter unten), ist unglaublich fortgeschritten beim Entwerfen der Malware, dem Infizieren und der Ausbreitung, geht aber beim zentralen Teil einer Ransomware-Attacke – dem Abgreifen eines Lösegelds – vollkommen unzulänglich vor.

Einer der Gründe, warum Ransomware so beliebt ist, war das damit in der jüngeren Vergangenheit das große Geld zu machen war. Letztes Jahr alleine erbeuteten Verbrecher mit dieser Taktik über 1 Milliarde US-Dollar. Dies beinhaltete Ransomware wie Locky (150 Millionen US-Dollar), Cryptowall (100 Millionen US-Dollar) und Cerber (50 Millionen US-Dollar). Heute haben wir es mit Angriffen zu tun, die sich so weit verbreiten wie noch keiner vor ihnen, aber NotPetya holte keine 10.000 Dollar in Bitcoin-Überweisungen – Geld, an das die Kriminellen wahrscheinlich nicht einmal herankommen. Die Verursacher müssen gewusst haben, dass das einzelne Bitcoin-Konto, das sie angegeben haben, sofort strengstens überwacht werden würde. Hinzu kommen weitere Ungereimtheiten, wie das völlige Fehlen eines "User Support", der nicht-IT-affinen Opfern erklärt, wie man Bitcoins überweist – früher ein absolutes Muss für Ransomware, da genau dies die bevorzugten Opfer waren.

So sehr mich das an das frühe Silicon Valley erinnert – geniale IT-Profis, die keine Ahnung von Wirtschaft und Geschäftsführung haben – komme ich anhand dieser Indizien zu einem anderen Schluss: Hier wurde ein gut durchdachter, auf große Organisationen abzielender und sich schnell ausbreitender Schadcode geschrieben und im letzten Moment halbgar eine Ransomware-Komponente hinzugefügt. Auch deshalb halte ich Vermutungen, es wäre die mit Nordkorea in Verbindung gebrachte "Lazarus Group" gewesen, für unwahrscheinlich. Diese Gruppierung hat mit sehr erfolgreichen Attacken in der Vergangenheit – die Angriffe auf die Bangladesh Bank via SWIFT und Sony sind die bekanntesten Beispiele – gezeigt, dass sie wirtschaftlich und zielgerichtet arbeiten.

Die Angreifer im aktuellen Fall aber waren, wenn nicht auf Geld, dann auf zwei andere Dinge aus: Erprobung ihrer Technik und Chaos. Ersteres sehen wir inzwischen vermehrt und auch bei WannaCry gab es Vermutungen, dass es ein Testlauf war, der einfach nur zu früh gestartet wurde. Folgt man aber der Verbreitung von Chaos als Motiv, dann fallen weitere Indizien auf, die auf einen klaren Ursprung hinweisen: Russland.

Die Attacke war nach allem, was wir bisher wissen, so konstruiert, dass sich die Malware schnell und möglichst aufmerksamkeitswirksam in der Ukraine ausbreitet. Überdies geschah dies am 27. Juni – am 28. Juni feiert die Ukraine die Unabhängigkeit von der Sowjetunion. Die Tatsache, dass mit Rosnef und Evaz auch zwei prominente russische Unternehmen getroffen wurden, halte ich für Kollateralschaden. Ransomware ist immer noch eine Software und die unterscheidet nicht, in welchem Land die Rechner stehen und da diese Attacke so sehr auf schnelle Verbreitung ausgelegt war, ist es schwer zu steuern, in welche Richtung es geht. Mit "Friendly Fire" ist dabei ebenso zu rechnen, wie mit einer wahrscheinlich gewollten globalen Ausbreitung.

Nimmt man deshalb alle Faktoren und Indizien zusammen – die amateurhafte Lösegeld-Forderung, die Zielsetzung auf große Unternehmen, der Start in der Ukraine mit wahrscheinlich zusätzlichen Maßnahmen, dass sich die Malware dort noch schneller verbreitet und das geschichtsträchtige Datum in der aktuellen Konfliktlage – bleibt für mich nur der Schluss, dass dieser Angriff seinen Ursprung in Russland hatte, auf Chaos und das Austesten der eigenen Möglichkeiten abzielte und nie das Kassieren des Lösegelds im Sinn hatte, sondern die Ransomware-Front nur zur Tarnung nutzte." (Gigamon: ra)

eingetragen: 07.07.17
Home & Newsletterlauf: 24.07.17


Gigamon: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Kommentare und Meinungen

  • Drive-By-Infektionen als Adobe Flash-Update

    Bislang macht die Bad Rabbit-Ransomware vor allem durch ihren auffälligen Namen von sich reden. Der Crypto-Trojaner selbst erscheint technisch nicht besonders bemerkenswert, so nutzt er etwa keinen neuen oder kreativen Angriffs-Vektor. Bemerkenswert ist allerdings, dass es immer noch Unternehmen und Organisationen gibt, die nichts aus den letzten Ransomware-Wellen gelernt zu haben scheinen. Offensichtlich bedient sich Bad Rabbit der Waterhole-Methode, d.h. die Malware wird durch infizierte Internet-Seiten, auf die die anvisierten Ziele häufig zugreifen, verbreitet. Diese Drive-By-Infektionen werden als Adobe Flash-Update getarnt und auf diese Weise unbedarfte Nutzer dazu verleitet, die Schadsoftware herunterzuladen. Mit Applikations-Whitelisting, aktuellen Browsern und Standard-Sicherheitssoftware sollte eigentlich eine Infektion vermieden werden. Dass wir trotzdem von betroffenen Unternehmen hören, etwa der Nachrichtenagentur Interfax, wirft ein schlechtes Bild auf die Sicherheitspraxis zahlreicher Firmen und Institutionen.

  • Ausbreitung von Bad Rabbit

    Die unter dem Namen "Bad Rabbit" bekannt gewordene Ransomware hat bereits einiges an medialer Aufmerksamkeit erlangt. Die ersten Opfer waren vornehmlich russische Nachrichtenagenturen und andere Institutionen in Russland und der Ukraine. Andrew Clarke, One Identity, kommentiert.

  • Zertifizierung muss auf offene Normen setzen

    Die Europäische Kommission hat einen Regulierungsvorschlag veröffentlicht, der auch einen künftigen Europäischen Zertifizierungs- und Kennzeichnungsrahmen für IKT-Sicherheit betrifft. Er soll die Sicherheitseigenschaften von Produkten, Systemen und Diensten, die bereits in der Entwurfsphase ("security by design") integriert sind, verbessern. Die gute Absicht ist erkennbar, zumal ein erhöhter Schutz der Bürger und Unternehmen durch bessere Cybersicherheits-Vorkehrungen erstrebenswert ist. Dennoch hat der Vorschlag erhebliche fachliche Mängel. Darüber hinaus mangelt es an Offenheit und Transparenz, wie man sie von Normensetzung erwarten kann, die der Unterstützung der EU-Gesetzgebung dienen soll.

  • Generelle Problematik der Verschlüsselung lösen

    Wir dürfen gespannt sein, wie die neue Bundesregierung die vom letzten Kabinett angepeilte "Datenordnungspolitik" weiter vorantreibt. Neben dem Breitbandausbau wird das besonders in Bezug auf Verschlüsselung spannend - nicht nur wegen der NSA-Affäre sondern auch, um sich als Vorreiter der Digitalisierung zu positionieren. Ziel der großen Koalition war es, Deutschland zum Verschlüsselungsstandort Nummer eins zu machen und dem Bürger die sichere elektronische Kommunikation mit den Behörden zu ermöglichen. Ist dies gelungen? Wohl nur teilweise, denn die Politik hat mit dem De-Mail-Gesetz zwar Regelungen zur verschlüsselten Kommunikation erlassen. Das Ziel ist jedoch noch lange nicht erreicht, und dass andere Länder, darunter auch die Schweiz, gesicherte elektronische Kommunikation noch nicht in der Gesetzgebung verankert haben, ist wahrscheinlich nur ein schwacher Trost.

  • Sicherheit im Netz: Bleiben wir wachsam

    Zahlreiche Cyberattacken zeigen uns, dass ein Zwischenfall katastrophale Folgen haben kann: Produktionsausfälle, Standortschließungen, Verlust von geschäftskritischen Daten und Auswirkungen auf das Image. Monat für Monat erleben wir immer ausgefeiltere Angriffe mit neuen Bedrohungen für Schwachstellen in Unternehmen und Behörden. Natürlich ist es illusorisch zu glauben, dass man solche Cyberattacken stoppen kann. Unternehmen müssen daher reagieren und dürfen nicht mehr passiv bleiben. Für viele Unternehmen ist die Cybersicherheit ein Kostenfaktor sowohl technologisch als auch personell sowie organisatorisch. Daher behandeln Organisationen diese Thematik oft stiefmütterlich. Mehr als die Hälfte der Unternehmen geben immer noch weniger als 3 Prozent ihres IT-Budgets für Sicherheit aus (Quelle: Clusif 2016).