Der Trojaner, der sich am Dienstag rasant verbreitete, ähnelt dem bereits im Jahr 2016 aufgetretenen Trojaner „Petya“. Sicherheitsforscher stufen ihn aber als neuen Trojaner ein und nennen ihn daher meist „NotPetya“. Obwohl der Trojaner zunächst den Anschein erweckte, als handele es sich um Ransomware wie „WannaCry“, ist das Ziel offenbar nicht, bei den Betroffenen ein Lösegeld zu erpressen. Die Angreifer sind gar nicht in der Lage, die Daten wieder zu entschlüsseln. Daher hat sich mittlerweile der Verdacht erhärtet, dass es bei „NotPetya“ hauptsächlich darum geht, Firmen lahmzulegen und möglichst viel Schaden anzurichten.
Die Verbreitung erfolgt unter anderem über die Schwachstelle im SMB-Protokoll, die bereits von „WannaCry“ verwendet wurde. Es wurden jedoch weitere Verbreitungswege hinzugefügt. Nachdem er das erste System in einem Netzwerk infizieren konnte, sucht der Trojaner als nächstes Ziel einen Domain Controller. Dort sammelt er eine Liste von Systemen im Netzwerk, die er danach ganz gezielt infiziert. Dabei verwendet er auch Admin-Passwörter, die er zuvor auf dem Domain Controller zu erbeuten versucht.
Für die derzeit beobachtete Version von „NotPetya“ wurde mittlerweile ein Mechanismus gefunden, durch den eine Infektion unterbunden werden kann. Der Trojaner prüft, ob bestimmte Dateien existieren, und bricht in diesem Fall die Ausführung ab. Diese Dateien vorsorglich anzulegen, mindestens auf den Domain Controllern und allen besonders gefährdeten Systemen, könnte Firmen daher vor Schaden bewahren. Hierfür kann diese Datei verwendet werden.
Es kann natürlich jederzeit eine neue Variante in Umlauf gebracht werden, die nicht länger auf das Vorhandensein dieser Dateien reagiert, weshalb dies nicht die einzige Maßnahme bleiben sollte. IT-Verantwortliche sollten auf jeden Fall auch überprüfen, ob auf allen Domain Controllern sämtliche Sicherheitsupdates von Microsoft eingespielt wurden, und ob angemessene Maßnahmen zu deren Härtung ergriffen wurden.