Wer steckt hinter Petna?

Als Ende März 2016 Petya zum ersten Mal kursierte, fiel die Ransomware durch ihre Effizienz, den neuen technischen Ansatz und die gut gemachte Phishing-Kampagne auf. E-Mails in perfektem Deutsch mit einer Bewerbung wie sie tagtäglich in den Personalabteilungen von Firmen eintreffen, verweisen auf eine Datei in der Dropbox. Wenn man sie öffnet, werden die ersten Sektoren der Festplatte überschrieben und der Rechner bootet neu. Danach ist die Master File Table verschlüsselt. D.h. die Dateien sind zwar noch auf der Festplatte, aber der Rechner kann nicht darauf zugreifen. Die technische Raffinesse bestand darin, dass die gesamte Logik der Entschlüsselung und Wiederherstellung des Systems in ein paar Hundert Byte umgesetzt wurden, die in den ersten Sektoren der Festplatte stehen. Das umfasste auch einen Totenkopf auf dem Bildschirm.

Petya hatte einige Nachteile. Unter anderem brauchte er Adminrechte. Daher bekam Petya nach kurzer Zeit eine Weiterentwicklung namens Mischa, die wie andere Ransomware auch Dateien verschlüsselt, dabei aber ohne Adminrechte auskommt. Die Kombination von beiden machte dann im Mai 2016 die Runde und wurde im Dezember 2016 unter dem Namen GoldenEye mit leichten Varianten zusammengeführt. Auch hier wurden Bewerbungsschreiben in perfektem Deutsch teilweise gezielt an Personalabteilungen gesendet. Die Abwicklung der Lösegeldbezahlung wurde automatisiert über einen Hidden-Service in TOR realisiert. Sowohl Petya als auch GoldenEye waren sehr effektive Ransomware-Wellen, die auch für die Betreiber dahinter lukrativ war. Danach wurde es still um die Autoren von GoldenEye, die unter dem Namen Janus agieren.

Und nun ein halbes Jahr später verbreitet sich eine Ransomware, die ebenfalls einen Reboot provoziert und die Master File Table verschlüsselt. Die offensichtliche Analogie zu Petya über ein Jahr zuvor hat viele Sicherheitsforscher veranlasst auch hier den Namen Petya zu verwenden. Aber schon bald kamen Zweifel auf, die sich dann in Bezeichnungen wie NotPetya, Nyetya, und Petna ausdrückten.

Es stellte sich schnell heraus, dass der Code zum Verschlüsseln der Master File Table (MFT) dem Code von Petya in der Version von GoldenEye aufs Haar gleicht. Die dort genutzte Salsa20-Verschlüsselung ist so implementiert, dass eine Entschlüsselung nicht möglich ist. Der alte Schlüssel von Petya wurde durch einen neuen ersetzt, der sich aus Zufallswerten zusammensetzt, die selbst dem Urheber nicht bekannt sind. D.h. die Daten können beim besten Willen nicht entschlüsselt werden.

Damit ist aber auch schon Schluss mit den Ähnlichkeiten. Die zwei weiteren Komponenten von GoldenEye - der Dropper der die o.g. Verschlüsselungskomponente auf den Rechner aufspielt und aktiviert und die User-Mode-Ransomware Mischa - sind vollständig neu entwickelt. Es könnte sein, dass dies im Rahmen der üblichen Software-Pflege passiert ist. Auch GoldenEye hat sich in diesem Bereich stark von der ersten Variante von Petya unterschieden. Es könnte aber auch sein, dass sich jemand den Code von Petya zu eigen gemacht hat. Dazu bedarf es lediglich eines mit dem alten Petya infizierten Rechners und eines HexEditors. Der Schadcode befindet sich in den ersten Sektoren auf der Festplatte und kann in gleicher Form wieder eingesetzt werden. Für die o.g. Änderungen ist kein SourceCode notwendig.

Viel interessanter als die Gemeinsamkeiten sind allerdings die Unterschiede. Das beginnt mit dem Infektionsweg. Petya und GoldenEye wurden bislang  per Phishing-Mails verbreitet. Sie richteten sich an deutsche Personalabteilungen. Und nun soll Petna für die Erstinfektion von Rechnern Webseiten via Waterhole Attacke nutzen oder noch entlegener den Update-Mechanismus einer speziellen, in der Ukraine gängigen Finanzsoftware namens MEDoc für die Infektion nutzen. Es ist äußerst unwahrscheinlich, dass Janus plötzlich eine etablierte Strategie aufgibt. Nach Monaten der Stille meldete er/sie sich wieder zu Wort und hat angekündigt, sich an der Suche nach dem Schlüssel zu beteiligen. Offenbar haben wir es hier also mit einer anderen Gruppe zu tun. Es gibt Hinweise, dass die Gruppe Telebots Verbindungen zu Petna hat.   

Die letzte große Ransomware-Welle mit WannaCry ebbt soeben ab. Da liegt es nahe, dass man Parallelen sucht und auch findet. Auch Petna nutzt die EternalBlue Sicherheitslücke aus dem NSA-Fundus, der von den ShadowBrokers geleakt wurde. Allerdings verbreitet sich Petna nicht im Internet, sondern nur in lokalen Netzwerken. Dazu nutzt er auf Rechnern mit Domain-Controllern spezielle Suchfunktionen, um Rechner im Netzwerk aufzuspüren. Außerdem nutzt Petna noch eine weitere NSA-Sicherheitslücke namens EternalRomance. Und er missbraucht die WMI Adminstrations-Funktionen für Windows um sich in lokalen Netzwerken zu verbreiten und versucht mit einer Liste von Passwörtern in die admin$-Freigaben eines Netzwerks einzudringen und startet die Infektion mit dem Windows Tool psexec. WannaCry fehlen diese Funktionen vollständig.

Ungewöhnlich ist auch, dass Petna die USN Journals und eine Reihe von Event-Logs der befallenen Rechner löscht. Dort protokolliert Windows die Systemaktivitäten. Durch das Löschen erschwert Petna die Analyse der Vorfälle auf den Rechnern und - noch wichtiger - verhindert, dass er durch die Logfile-Analyse, wie sie z.B. in SIEM-Systemen durchgeführt werden, zu einer Entdeckung führen (SIEM = Security Information and Event Management). Die Malware-Spezialisten in den Security Operation Centern (SOC) bemerken die Aktionen dadurch möglicherweise erst verspätet.

Auch Petya/GoldenEye war mit seiner Ausrichtung auf Personalabteilungen auf Unternehmen ausgelegt. Bei Petna ist es noch viel auffälliger, dass große Firmen in einer bestimmten Region angegriffen werden sollen: Es wird eine bestimmte in der Ukraine verbreitete Finanz- und Steuersoftware für die Infektion genutzt. Die Verbreitung ist auf lokale Netzwerke beschränkt und es wird versucht, sich vor ausschließlich in Unternehmen eingesetzter Erkennungstechnologie zu verbergen. Dieser Angriff erfolgt eindeutig auf große Unternehmen. Das belegen auch die Berichte über betroffene Firmen und die dort betroffenen  Bereiche wie z.B. Ölproduktion, Banken, Kassensysteme, Produktionsanlagen. Privatpersonen sind nicht betroffen.

Es gibt andere Ransomware-Familien, die auf Firmen spezialisiert sind oder ermitteln, ob sie in Unternehmensnetzwerken aktiv sind. Dann werden entsprechend höhere Lösegelder fällig, die üblicherweise 4-stellig manchmal auch 5- und 6-stellig sind. Die Lösegeldforderung von 300 USD in BitCoins liegt im üblichen Bereich für Ransomware, die Privatkunden angreift. Alleine der Preis weist darauf hin, dass es hier nicht vorrangig um Geld ging. Das belegt auch die schlampige Umsetzung des Bezahlverfahrens über eine einzige E-Mail-Adresse in Deutschland. Die E-Mail-Adresse wurde vom deutschen Provider umgehend gesperrt. Petna kann die Dateien ohnehin nicht entschlüsseln. Bezahlen ist also zwecklos. Auf dem entsprechenden BitCoin-Konto sind aktuell knapp 4 BitCoins eingegangen (das sind etwas mehr als 10.000 USD). Nach dem aktuellen Umrechnungskurs ergeben sich daraus 29 Zahler (bei 46 Transaktionen). Aus rein finanzieller Sicht muss man Petna als Flop bezeichnen.

Aber vielleicht war Geld auch nicht die hauptsächliche Motivation für Petna. Warum macht sich jemand so viel Mühe, um gezielt in Unternehmen und deren internen Netzwerke einzudringen, und geht bei der Monetarisierung so schlampig vor? Da liegt es nahe, an gezielte Sabotage zu denken. Dafür ist die Verbreitung aber zu stark aus dem Ruder gelaufen. Eine gezielte Attacke auf ein Unternehmen oder ein Land hätte besser eingedämmt werden können. Es könnte sich um einen Testlauf gehandelt haben. Dafür spricht auch, dass nach der ersten Welle keine aktualisierten Versionen kursierten. 

Ein Team aus internationalen Ermittlungsbehörden versucht herauszufinden, von wem die Angriffe ausgegangen sind. Darüber, ob staatliche Stellen involviert sind, kann man nur spekulieren. Die NATO macht aber deutlich, dass sie "Cyber" als Kriegsdomäne ansieht und mit entsprechenden Angriffen gegebenenfalls auch Artikel 5 in Kraft treten könnte (sofern es ausreichende Fakten gibt, die den Urheber kenntlich machen). Wer wirklich hinter den Angriffen von Petna steckt, lässt sich aktuell noch nicht mit abschließender Sicherheit sagen.

Einige Firmen hat es hart getroffen. Die Umstände, die sich bei dem internationalen Logistik-Riesen Maersk ergeben haben, zeigen, wie abhängig ganze Branchen von einer funktionierenden Rechnerinfrastruktur sind. Petna und WannaCry haben aber auch gezeigt, dass in vielen Unternehmen und Unternehmensbereichen die umgesetzten Schutzmaßnahmen geeignet sind, solche Bedrohungen abzuwehren bzw. rasch damit umzugehen. Petna hat aber auch einige Bereiche aufgezeigt, in denen der Schutz der Rechner noch nicht ausreichend umgesetzt wurde. Hier müssen Firmen nachbessern und ihre Hausaufgaben machen. Die Schutzmaßnahmen selbst sind so individuell wie Unternehmen. Im Zweifelsfall sollten sich Unternehmen Rat bei IT-Security-Spezialisten holen (z.B. G DATA Advanced Analytics). Wenn es sich bei Petna tatsächlich um einen Testlauf gehandelt hat, dann werden die Urheber jetzt in die Auswertung gehen und die Erkenntnisse in der nächsten Runde einsetzen. Viel Zeit bleibt dann nicht für die Absicherung der IT.