HOME

Zerstörung statt Einnahmen: Erpressung nur Tarnung –Trojaner Petya diente der puren Zerstörung

Der Erpressungs-Trojaner Petya sorgte Anfang der Woche für Schlagzeilen. Auch, weil er trotz riesiger Schäden kaum Geld einnahm. Eine Untersuchung zeigt nun: Er sollte wohl gar kein Geld eintreiben. War das alles nur Tarnung für einen gigantischen Angriff?

Ein Mann sitzt mit Militärkleidung und Sturmmaske vor seinem Laptop

Der Trojaner Petya war wohl kein Erpressungs-Versuch - sondern ein Angriff

Am Montag verbreitete sich auf einmal rasant ein neuer über die Rechner der Welt. Er verschlüsselte Windows-PCs, forderte Lösegeld. Betroffen waren vor allem Firmen und kritische Infrastruktur wie Banken und das Atomkraftwerk Tschernobyl. Jetzt mehren sich die Anzeichen, dass es sich dabei nicht um Zufall handelte - und die Erpressung nur von einem gezielten Angriff ablenken sollte.

Zu diesem Schluss kommen mehrere Viren-Experten, die den Trojaner untersuchten. Ihnen zufolge handelt es sich gar nicht um einen echten Erpressungstrojaner - sondern um einen sogenannten Wiper (etwa: Löscher). Während ersterer die Daten nur als Geisel nimmt und gegen Lösegeld wieder frei gibt, hat letzterer ein ganz anderes Ziel: Es geht um pure Zerstörung. Das erklärt der Viren-Experte Matt Suiche in einem Blog-Post.

Zerstörung statt Einnahmen

Dafür spricht nicht nur die dilettantische Umsetzung des vorgeblichen Erpressungsversuches. Die Betroffenen sollten Lösegeld in Form von Bitcoin bezahlen und dann den Transfer an eine E-Mail-Adresse melden. Die wurde einfach abgeschaltet, am Ende waren nur etwa 8000 Euro zusammengekommen. Ginge es den Angreifern nur ums Geld, hätten sie sich wohl mehr Mühe gegeben.

Viel schwerer wiegt die Tatsache, dass der Schädling selbst nie für die Rückgabe der Daten ausgelegt war. Zu diesem Schluss kommen Suiche und auch die Viren-Experten von Kaspersky. Die Verschlüsselung ist nicht umkehrbar, die Daten sind endgültig zerstört. Selbst wenn sich die Verschlüsselung rückgängig machen ließe, könnten die Angreifer die Daten zahlender Opfer nicht retten. Dazu müssten sie die Lösegeldzahlung einem betroffenen Rechner mit einer Identifikationsnummer zuordnen können. Das geht aber nicht - weil der Schädling eine solche Nummer gar nicht erst erstellt. Auch das spricht gegen einen Erpressungsversuch.


Wer wollte die Ukraine angreifen?

Vielmehr scheint es sich um gezielte zu handeln - also um einen Angriff. Das Ziel dürfte relativ klar die Ukraine gewesen sein. Hier fand sich ein Großteil der Opfer, mit der Zentralbank, dem Metro-System und jeder Menge Unternehmen wurde auch in die Infrastruktur des Landes getroffen. Die Verbreitungsmethode deutet ebenfalls auf die Ukraine als Ziel: Die Software wurde wohl über ein verseuchtes Update einer ukrainischen Buchhaltungssoftware verbreitet. Alle Opfer aus anderen Ländern dürften Kollateralschaden gewesen sein.

Über den Urheber lässt sich nur spekulieren. Denkbar sind natürlich Geheimdienste anderer Staaten, aber auch private Hacker-Gruppen mit politischem Interesse könnten dahinterstecken. Selbst eine Racheaktion an einer bestimmten Firma ist möglich. Zwischen dem Konflikt mit Russland, den Bürgerkriegs-Parteien und kriminellen Organisationen gibt es eine praktisch unüberschaubare Menge von Akteuren, die von dem Chaos profitieren könnten. Ob die Hintermänner und ihre Motive jemals ermittelt werden können, muss sich zeigen.

Kaspersky hat den Trojaner nun erstmal umbenannt. Der echte "Petya" geistert schon seit Jahren als Erpressungs-Trojaner durch die Welt. Der neue Schädling hatte sich als Variante ausgegeben. Weil es sich aber eben nicht um sondern um einen Angriff handelt, haben ihm die Experten einen neuen Namen gegeben. Der ist zwar wenig kreativ, macht aber klar, was man hier vor sich hat. Er lautet "Notpetya".

Stern Logo Das könnte Sie auch interessieren

Kann ich mich auf Geschwindigkeitsanzeige FritzBox verlassen?
Hallo zusammen, erstmal herzlichen Dank für die Leute, die sich Zeit nehmen Fragen zu beantworten oder ihre Erfahrungen mit anderen teilen. Das ist oft hlifreich, wenn man sich nicht so auskennt. Ich hoffe, dass mir jemand weiterhelfen kann. Die Telekom hat hier nach langer und ersehnter Zeit schnelle Leitungen verlegt. Mitarbeiter waren auch zu Besuch da und auch nett:-) Sie wollten ja auch, dass ich von 1und1 wieder zurück wechsel. Das ist für mich in Ordnung und gehört zum Wettbewerb. Da jedoch die Mitarbeiter mir sagten, dass die Telekom für paar Jahre das Vorrecht hätte, könnte ich schnelles Internet nur über Telekom beziehen. Sprich entweder Telekom und schnelles Internet oder langsames Internet. Da habe ich im Internet recherchiert und rausgefunden, dass das so nicht mehr stimmt. Das war der Grund, warum ich dann bei 1und1 DSL100 abgeschlossen habe, da man mir am Telefon gesagt, dass es ohne Probleme möglich wäre. Nun ist es jedoch so, dass wir gar nicht so merken, dass unser Internet schneller ist. Gerade in der oberen Etage kann man nicht ohne Router surfen oder Sky über Internet Fernsehen. Nun meine Frage: Bei der Fritzbox wird es jedoch angezeigt. Kann ich mich drauf verlassen? Oder wie macht ihr eure Messungen? Ich weiss, dass es Software gibt, aber der feste Rechner ist bereits alt und hat einen alten Internet Explorer drauf. Wenn ich mit einem Laptop im Wlan mich reinhänge, wird sicher die Geschwindigkeit sowieso niedriger und nicht verwertbar sein, oder? Vielen Dank für die Antworten.