Nur 10.000 Euro Gewinn für »Petya«-Hacker

Die Hintermänner der »Petya«-Attacke haben nur rund 10.000 Euro Lösegeld von ihren Erpressungsopfern eingenommen. Eine zweite Angriffswelle über eine kompromittierte Steuersoftware konnte diese Woche nur knapp verhindert werden.

Gut eine Woche nachdem mit »Petya« ein weiterer Erpressungstrojaner weltweit Computer kompromittiert hat, ziehen Sicherheitsexperten jetzt eine erste Bilanz des Angriffs. Dabei stellt sich vor allem heraus, dass die Attacke den Hintermännern zumindest finanziell kaum Gewinn eingebracht hat. Sicherheitsforscher haben beobachtet, dass das Bitcoin-Konto, auf dem die Lösegelder der Opfer eingesammelt wurden, Mitte dieser Woche geleert wurde. Allerdings waren darauf seit Beginn des Angriffs nur Bitcoins im Gegenwert von rund 10.000 Euro eingegangen. Ein fast schon lächerlicher Betrag im Vergleich zu anderen Ransomware-Attacken der jüngeren Vergangenheit wie »Locky« und »Wannacry«, die ihren Verursachern nach der Schätzung von Experten wie der Cyber Threat Alliance (CTA) Millionenbeträge eingebracht hatten. Laut CTA haben Cyberkriminelle in den vergangenen zwei Jahren weltweit insgesamt jeweils mehr als 300 Millionen Euro an Lösegeldern mit Ransomware eingenommen.

Dennoch heißt das nicht, dass »Petya« für die Angreifer kein Erfolg war. Vielmehr scheint es die Vermutung zu bestätigen, dass das eigentliche Ziel des Angriffs ein ganz anderes war: möglichst großen Schaden bei den Opfern anzurichten. Da vor allem die Ukraine von Petya betroffen war, gehen immer mehr Sicherheitsexperten von einem gezielten Angriff aus Russland aus (siehe auch: Petya könnte Datenvernichtung zum Ziel haben). Die finanzielle Erpressung sowie die Ausbreitung in anderen Ländern könnten demnach entweder digitale Kollateralschäden oder gar gezielte Ablenkungstaktik gewesen sein. Diese Vermutung wird auch durch die Tatsache gestützt, dass die Angreifer ein Standard-Mailkonto genutzt haben, über das die Opfer Kontakt zu ihnen aufnehmen sollten, um angeblich den Schlüssel zur Entsperrung ihrer Dateien zu bekommen – was allerdings in keinem bisher bekannten Fall auch tatsächlich gelang. Der Anbieter Posteo hatte dieses elektronische Postfach umgehend gesperrt.

Wie jetzt außerdem bekannt wurde, konnte eine geplante zweite Angriffswelle durch die Beschlagnahmung und Abschaltung mehrerer Server der ukrainischen Softwarefirma Intellect Service gerade noch rechtzeitig verhindert werden. Das Unternehmen hat gegenüber der BBC bestätigt, dass es den Cyberkriminellen gelungen war, unbemerkt ein Update ihrer Steuersoftware »MeDoc« so zu kontaminieren, dass sie es zur weiteren Verteilung ihrer Malware missbrauchen konnten. Laut Intellect Service läuft die Software alleine in der Ukraine auf mehr als einer Million Rechnern, über die wiederum auch alle anderen Geräte in ihren Netzwerken infiziert werden können. Den MeDoc-Nutzern wird deshalb dringend empfohlen, ihre Systeme zu überprüfen und gegebenenfalls abzuschalten, bis die Malware von der IT-Abteilung oder externen Sicherheitsfachkräften entfernt oder blockiert werden kann.