Aktueller Ransomware-Angriff: Sperrung des E-Mail-Kontos unterbindet Zahlungen an Hintermänner

Posteo hat die E-Mail-Adresse gesperrt, die von den Hintermännern der aktuellen Ransomware-Kampagne “Petya/NotPetya” verwendet wurde. Der deutsche E-Mail-Anbieter wurde eigenen Angaben zufolge gestern Mittag auf den Missbrauch des Kontos aufmerksam. In so einem Fall sei die umgehende Sperrung des Postfachs ein bei Providern übliches Vorgehen. Das Unternehmen betont zudem, dass es zum Zeitpunkt der Sperre noch keine öffentlichen Berichte über die neue Ransomware-Kampagne gab.

“Den Erpressern ist es schon seit dem Mittag nicht mehr möglich, auf das Postfach zuzugreifen oder E-Mails zu versenden”, teilte Posteo mit. “Ein E-Mail-Versand an das Postfach ist ebenfalls nicht mehr möglich.” Das hat aber nicht nur Folgen für die Hintermänner, sondern auch für zahlungswillige Opfer. Um das geforderte Lösegeld von 300 Dollar in Bitcoin zu bezahlen, sollen sie die ID ihrer Bitcoin-Wallet sowie den persönlichen Installationsschlüssel per E-Mail an die Erpresser schicken. Aufgrund der Sperrung des Postfachs kommen diese Daten bei denen nun aber nicht mehr an.

Posteo verteidigt sich gegen Vorwürfe diesbezüglich damit, dass keineswegs gewährleistet war, dass Nutzer nach Zahlung des Lösegelds überhaupt Zugriff auf ihre Dateien erhalten. Sicherheitsexperten raten schon seit Jahren, kein Lösegeld zu zahlen. Wer zahlt, trage lediglich dazu bei, dass sich das Geschäft der Malware-Entwickler lohnt. Außerdem bestehe die Gefahr, dass eine einmal als zahlungswillig und damit erpressbar identifizierte Organisation oder Person künftig verstärkt angegriffen werde.

Nutzer oder Firmen sollten das Geld lieber in brauchbare Backup- und Recovery-Lösungen investieren oder für ein vernünftiges Patch-Management ausgeben. Oder für beides. Zwar sind sich Sicherheitsforscher noch nicht ganz einig, aber offenbar nutzt die aktuelle Kampagne dieselbe Lücke aus, die sie bereits schon vor einem Monat von WannaCry ausgenutzt wurde.

Für die stand allerdings auch damals – für die unterstützten Betriebssysteme – schon über über zwei Monate ein Patch von Microsoft zur Verfügung. Auf dessen Bedeutung hatten zahlreiche Experten und Organisationen hingewiesen, unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI). Da der überwiegende Teil der betroffenen Rechner mit Windows 7 lief – so wie offenbar nun bei der aktuellen “Petya/NotPetya”-Kampagne ebenfalls, hätten sie längst gepatcht sein können, ja müssen.

Für weitere, eigentlich nicht mehr unterstützte Betriebssysteme stellte Microsoft Mitte Mai einen Notfall-Patch zur Verfügung. Damit haben auch Besitzer von Rechnern mit älteren Windows-Versionen kaum noch eine vernünftige Ausrede, warum sie der aktuellen Attacke zum Opfer fallen.

Eine weitere Möglichkeit sich zu schützen hat heute der Sicherheitsforscher Amit Serper vom Anbieter Cybereason gefunden. Ihm zufolge bricht die aktuell kursierende Ransomware die Verschlüsselung ab, wenn sie auf der lokalen Festplatte eine bestimmte Datei vorfindet. Die können Nutzer daher als eine Art Schutzimpfung selbst dort platzieren.

Die bereits von WannaCry und nun auch “Petya/NotPetya” ausgenutzte Lücke kam durch eine Aktion der Gruppe ShadowBrokers an die Öffentlichkeit. Ursprünglich hatte die Lücke die NSA entdeckt, sie aber nicht an Microsoft gemeldet, um sie in Ruhe für ihre Zwecke ausnutzen zu können. Dies bei Geheimdiensten recht übliche Praxis wird schon lange kritisiert.

Dass sie tatsächlich gravierende Folgen haben kann, zeigt sich jetzt, nachdem der NSA und auch der CIA Informationen über zahlreiche Lücken und deren mögliche Exploits gestohlen wurden. Während WannaCry und Petya/NotPetya die EternalBlue genante Lücke ausnutzen, droht durch weitere Exploits, etwa DoublePulsar und Adylkuzz gennante künftig ähnliche oder sogar größere Gefahr.

 Loading ...

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.