Security: neuer Kryptotrojaner in Wirklichkeit Zerstörungstrojaner

Vor wenigen Tagen kamen immer mehr Berichte auf, dass ein neuer Kryptotrojaner eine ganze Reihe an Rechnern in der Ukraine und in Russland befallen hat und somit teilweise ganze Firmen lahmgelegt hat. Zuerst hieß es von mehreren Quellen, dass es sich hierbei um eine abgewandelte Form des schon bekannten Kryptotrojaners Petya halten soll. Nun hat sich aber herausgestellt, dass der Trojaner das Verhalten von Petya nur imitiert, während der Trojaner in Wirklichkeit die Daten, welche auf dem betroffenen PC gespeichert sind, vernichtet.

Indizien, dass es sich bei dem neuem Trojaner um etwas anderes, als um einen Verschlüsselungstrojaner handelt, gab es reichlich. Zum einen gab es keine individuellen Bitcoin-Wallets, um die gezahlten Beträge leichter zuordnen zu können. Zum anderen nutzten die Verursacher für die Kommunikation nur ein einzelnes E-Mail-Konto, welches natürlich schnell gesperrt wurde. Diese Punkte deuteten schon darauf hin, dass es die Angreifer nicht auf Geld abgesehen haben. Weitere Analysen der Schadsoftware zeigten nun, dass die Schadsoftware nach dem Neustart den Master File Table, den Master Boot Record sowie einige Sektoren der Festplatte verschlüsselt. Bei den anderen Sektoren wird ein neuer Bootloader aufgespielt. Dies alles geschieht ohne das die Software ein Backup der alten Daten erstellt. Dadurch können sie später nicht wiederhergestellt werden.

Somit zeigt sich, dass es die Angreifer, im Gegensatz zu den Machern von Wanna Cry, nicht auf Geld, sondern wahrscheinlich auf die Zerstörung von Infrastruktur abgesehen haben. Dies macht es diversen IT-Sicherheitsfirmen zufolge wahrscheinlich, dass hinter dem Angriff diesmal ein Staat steht.

Quelle(n)