IT-Rebellen Das Blog für IT- und Businessentscheider, die neue Wege gehen wollen.
Quelle: Avira
Der Auslöser der aktuellen Ransomware-Angriffswelle trägt viele Namen: Petya, Petna, Not Petya, Quasi Petya… Fest steht: In einigen Grundfunktionen ähnelt der Angreifer der Petya-Erpressersoftware stark und er hat zahlreiche Unternehmen weltweit getroffen. Sicherheitsexperten vermuten dahinter eine gezielte Attacke auf Firmen. Der Erpressertrojaner verbreite sich über die Update-Server einer weit verbreiteten Buchhaltungs-Software (MeDOC) in Osteuropa. Dadurch seien auch zahlreiche Großunternehmen betroffen, die Geschäftsbeziehungen in die Region haben.
Nachdem die Ransomware in das Unternehmen gelangt ist, verbreite sich Petna (Kaspersky nennt beispielsweise „Not Petya“) im Netzwerk durch den Exploit Eternalblue, der aus den Beständen des US-Geheimdienst NSA stammt und bereits bei WannaCry zum Einsatz kam. Hierzu werden Administrator-Credentials gestohlen und für die Verbreitung genutzt. Die Ransomware verschlüssele das gesamte Dateisystem und kompromittiere den Master Boot Record (MBR) der Systemfestplatte. Petya trat bereits im Juli 2016 auf, als eine Next-Generation Ransomware, die MBR nutzt.
Die aktuelle Variante verfügt, anders als WannaCry, nicht über einen Not-Aus-Schalter.
Die ukrainische Regierung nimmt´s mit Humor. Quelle: Twitter
Verbreitung innerhalb eines Netzwerks
Laut SophosLabs greift der Exploit EternalBlue gezielt den Windows Server Message Block (SMB) Service an, der dazu dient, Dateien oder Drucker ohne große Umstände innerhalb lokaler Netzwerke zu nutzen. Dieses Problem wurde zwar von Microsoft mit Bulletin MS17-010 im März angegangen, sei aber aufgrund fehlender Updates in vielen Systemen noch immer präsent, und der Exploit wurde bereits von WannaCry im letzten Monat genutzt.
Die neue Attacke auf Basis von Petya scheine außerdem zu versuchen, sich innerhalb eines Netzwerks weiter zu verbreiten, in dem es Admin-Passwörter knackt und andere Netzwerk-PCs durch die Nutzung von Remote Admin Tools infiziert.
Last but not least dehne sich die Ransomware durch die Infektion von Netzlaufwerken auf anderen Computern aus. Das geschehe durch die Ausführung eines Codes, der Zugangsdaten stiehlt und die Passwörter von Nutzer-Konten knackt, um Ransomware zu implementieren. Die Malware sei sogar in der Lage Remote-Geräte zu infizieren, indem sie ein legitimes Remote Admin Tool namens PsExec von der Microsoft SysInternals Suite nutzt.
Hybridansatz verstärkt das Ausmaß des Angriffs
WannaCry habe Ransomware auf den nächsten Level gehoben, indem sie einen Wurm-basierten Angriff auf Maschinen über eine bestimmte Sicherheitsanfälligkeit eingeführt habe, so McAfee. „Der Petya-Ausbruch baut auf dieser Wurm-basierten, anfälligkeitsabhängigen Technik auf und fügt ein neues Element hinzu, das es ermöglicht, vermeintlich nicht verletzbare Maschinen zu infizieren. Petya macht dies, indem es Anmeldeinformationen von infizierten Maschinen stiehlt und diese verwendet, um vollständig gepatchte Maschinen zu infizieren.“
Dieser Hybridansatz verstärke drastisch den Einfluss und das Ausmaß des Angriffs und bedrohe die weltweit größten Konzerne mit der Aussicht, dass ihre Arbeitsflüsse unterbrochen werden, wenn eine ungepatchte Maschine weitere Tausende infiziert. Steve Grobman, CTO bei McAfee sagt dazu: „Wir glauben, dass die heutigen Vorkommnisse Teil der natürlichen Evolution der Ransomware-Technologie sind, aber auch ein Testlauf für einen viel größeren und ausgeprägteren Angriff in der Zukunft.“
Zahlung zwecklos: E-Mail-Account ist gesperrt
Zur Zeit kann kein Lösegeld bezahlt werden: Die Kontakt-E-Mail-Adresse in der Ransom Note (Erpresserbrief), an den Opfer des Angriffs ihre Zahlungsdaten schicken sollten, ist nicht mehr erreichbar, da sie vom E-Mail-Anbieter Posteo geschlossen wurde.
Hier gibt es weitere Informationen
Der europäische Security-Software-Hersteller ESET hat die ersten Erkenntnisse im ESET-Blog WeLiveSecurity zusammengefasst.
Bei Kaspersky gibt es sie hier.
Und bei G Data finden Sie hier die neuesten Entwicklungen.
Malwarebytes informiert hier
