Petya oder NotPetya ist keine Frage mehr

Bei dem neuen Angriff durch Erpressungstrojaner Petya scheint es sich nach aktuellsten Berichten gar nicht um Petya zu handeln. Es sieht alles eher nach einem ganz neuen Trojaner aus, der nur den Anschein erweckt, er sei ein Verwandter von Petya, Mischa und Goldeneye. Virenspezialist Kaspersky bezeichnet die neue Malware daher explizit als NotPetya, wozu auch andere Sicherheitsforscher inzwischen übergegangen sind.

Der Trojaner kam mit Steuersoftware

Die Infektion kam über das Update einer Steuersoftware (M.E.Doc), die hauptsächlich in der Ukraine und bei Wirtschaftspartnern der Ukraine im Einsatz ist. Auch die Kontakt- und Bezahlmöglichkeiten für Opfer sind im Gegensatz zu Petya reichlich dürftig.

Eine fest eingebaute statische Bitcoin-Adresse und eine einzige Emailadresse als Kontakt zu den Erpressern wirkt gegenüber dem ausgeklügelten WebInterface von Goldeneye regelrecht stümperhaft. Das führte ja auch schon dazu, dass der Zahlungsweg zu den Angreifern recht schnell geblockt wurde.

NotPetya will eher Chaos verbreiten als Geld erpressen

All das lässt doch eher vermuten, dass es sich um einen eher politisch motivierten Angriff handelt, der besonders in der Ukraine und bei ihren Wirtschafts-Partnern Chaos stiften will und dass sich die NotPetya-Angreifer einfach als Petya-Erpresser tarnen.

Sie nutzen den Vorwand der Erpressung damit, um den Verdacht von sich abzulenken. Ob es sich dabei jetzt um staatliche Hacker (raten Sie mal, aus welchem Land) oder um politisch motivierte andere Akteure handelt, ist allerdings noch nicht wirklich klar.