+43 699 / 18199463
office@itexperst.at
malware ukraine schleuder ransomware

Ukrainische Polizei greift ein – M.E.Doc Server als Malware-Schleuder beschlagnahmt

Das Unternehmen Intellect Service in der Ukraine verfügt über die populärste Buchhaltungssoftware des Landes namens M.E.Doc. Etwa 80 % aller Firmen sind auf diese Software angewiesen. Ohne sie läuft nichts mehr, hieß es kürzlich. Mit ihr wohl noch viel weniger! Anfang Juli hatten Kriminelle eine Ransomware-Attacke von den M.E.Doc Servern aus gestartet. Viele ukrainische Unternehmen waren davon betroffen. Der Angriff weitete sich aber auch auf Unternehmen in aller Welt aus.

Die ukrainische Anti-Cybercrime-Einheit beschlagnahmte die Server, nachdem sie neue böswillige Aktivitäten erkannt hatten. Damit vereitelten sie wohl tatsächlich die unkontrollierte Verbreitung von weiterer Malware. Sicherheitsexperten von Cisco Systems und ESET führten eine Analyse der MeDoc-Systeme durch. ESET beschrieb in einer Veröffentlichung ausführlich, wie die Malware sich über mehrere bösartige MeDoc-Updates verbreiten konnte.

Heraus kam auch, dass Intellect Service seine beliebte Buchhaltungssoftware seit Jahren total vernachlässigt hatte. Seit 2013 hatte man keine Sicherheits-Updates des Servers mehr vorgenommen. Außerdem hatte es nicht bemerkt, dass das Programm in den vergangenen Monaten drei Mal unbemerkt missbraucht worden war. ESET beschrieb, dass Kriminelle es geschafft hätten, eine Backdoor mittels drei manipulierte Updates zu verbreiten. Das Sicherheitsunternehmen geht davon aus, dass die Angreifer den Quellcode schon seit Jahresbeginn zur Verfügung hatten. Die Cisco-Experten gehen davon aus, dass eine Gruppe namens NotPetya-Gruppe auch TeleBots genannt, Unternehmenssysteme infiltriert hatte. Vermutlich erhielten sie so Zugang zu den Log-in-Daten eines Mitarbeiters.

Der so eingeschleuste Virus hat dann alle MeDoc-Nutzer angewiesen, ein 350 MB großes Datenpaket herunterzuladen. Die Malware war zuvor programmiert worden, 35 MB Daten von jedem befallenen Computer zurück an die Hacker zu senden. Die Backdoor war in einer bestimmten Datei versteckt, die Teil des Softwareupdates war. Am 14.04.2017, 15.05.2017 und 22.06.2017 konnte sie so ihre umfangreiche Schadsoftware verteilen. Die Experten gehen aber davon aus, dass das erste der Updates nur zum Austesten des Vorhabens durchgeführt wurde. XData und NotPetya Ransomware-Pakete wurden so verbreitet.

Die ESET-Forscher sagen, die Backdoor sei sehr einfallsreich und gut konstruiert. Beispielsweise kommunizierte sie nicht mit einem externen Befehls- und Kontrollserver. Ein solcher Server war direkt auf dem Update-Server von Intellect Service platziert. Das machte alle Vorgänge so gut wie unsichtbar. Die nötigen Kommunikationen mit diesen Servern waren dann als reguläre Cookies getarnt.

Laut den Forschen ist NotPetya nicht in der Lage, Festplatten wieder zu entschlüsseln, die es einmal verschlüsselt hat. Die Ransomware hatte wohl eher das Ziel, einmal gekaperte Daten dauerhaft zu zerstören.

Leiter der ukrainischen Cyberpolizei der Ukraine sagte, dass M.E.Doc-Entwickler

„sich einer strafrechtlichen Verantwortung gegenüberstellen müssen“,

weil sie frühere Warnungen ignoriert hatten, dass ihre IT-Infrastruktur unsicher war.

Siehe auch:

Artikel von theregister.co.uk, 05.07.2017: Watch: Armed Ukrainian cyber-cops raid MeDoc in NotPetya probe
Artikel von bleepingcomputer.com, 06.07.2017: M.E.Doc Software Was Backdoored 3 Times, Servers Left Without Updates Since 2013
Artikel von arstechnica.com, 05.07.2017: Backdoor built in to widely used tax app seeded last week’s NotPetya outbreak

Beitragsbild: (c) by Shutterstock.com

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen