Globale Angriffswelle durch Rückkehr der Ransomware Petya

Bereits bekannte Ransomware "Petya" verbreitet sich über eine Sicherheitslücke in Microsoft Office. Ebenfalls Verwendung von ETERNAL BLUE als Hintertür.

 

Beschreibung:

Seit gestern verteilt sich die Ransomware "Petya", auch unter dem Namen "NotPetya" bekannt, erneut auf IT-Systemen auf der ganzen Welt. Nach aktuellem Stand sind große Unternehmen aus Ländern wie Deutschland, dem Vereinigten Königreich, der Ukraine, Indien, den Niederlanden, Spanien, Dänemark sowie weiteren betroffen. Petya verschlüsselt, ähnlich wie übliche Ransomware, hierbei auch die Metadaten des Dateisystems (MFT-Master File Tree) und installiert einen Boot-Loader, sodass die Nutzer nach einem forcierten Neustart direkt einen Bezahlbildschirm sehen. Das geforderte Lösegeld beträgt aktuell $300 in Bitcoin.

Als Infektionsweg nutzt Petya initial manipulierte Office-Dokumente, die mit Phising-E-Mails an Unternehmen gemailt werden. Nach aktuellen Informationen wird hierbei die Sicherheitslücke CVE-2017-0199 in Microsoft Office verwendet. Einmal ausgeführt, verbreitet sich Petya per Internet oder Intranet mit verfügbaren SMB-Diensten (Windows Freigaben). Auch hier kommt wieder die Verwendung der Hintertür namens "ETERNAL BLUE" zum Einsatz, die auch schon bei "WannaCry" großen Schaden angerichtet hat. Diese Sicherheitslücke samt Programmen stammt angeblich aus dem Waffenarsenal der NSA und adressiert fast alle ungepatchen Windows-Systeme ab der Version XP.

Wie befürchtet (siehe Sicherheitsinformation FS-S/2017-0006 vom 13.05.2017) scheint es bei dieser neuen Ransomware, die ebenfalls ETERNAL BLUE nutzt, nach aktuellen Erkenntnissen bei Petya keinen sog. "Kill-Switch" zu geben, um die Verbreitung wie bei WannaCry einzudämmen. Viele Anti-Virenhersteller arbeiten derzeit an Signaturen für die Erkennung der Petya-Binaries.

Betroffene Systeme:

  • Microsoft Windows-Systeme mit nicht aktualisiertem SMB
  • Microsoft Windows-Systeme mit verwundbarem Microsoft Office

Empfehlung:

Wieder einmal zeigt die neue Ransomware Petya, dass bestehende Sicherheitslücken nach Bekanntwerden sehr schnell für großangelegte Angriffe und Kampagnen ausgenutzt werden. Dabei wird die erstellte Malware auch gegenüber gängigen Schutzsystemen wie Virenscannern solange optimiert, bis diese vorerst nicht erkannt werden.

Schutz vor solcher Ransomware bieten hierbei vor allem aktuelle Backups sowie die Minimierung der Angriffsfläche und die Stärkung der Resistenz der eigenen IT-Systeme. So sollten die Zugriffe der internen Systeme mit dem Internet beispielsweise mittels SMB-Freigaben nicht ohne guten Grund erfolgen und prinzipiell verboten sein. Falls diese doch notwendig sind, sollte dies nur von Systemen erfolgen, in denen permanent Sicherheitspatches eingespielt werden.

Darüber hinaus sollte besonders auf Phishing-Mails geachtet werden. Diese kommen bei groß angelegten Angriffswellen oft von unbekannten Personen und beinhalten Dateianhänge wie PDF oder Office-Dokumente. Diese Dateien sollten nicht ohne Weiteres ausgeführt werden, da das jeweilige System so leicht übernommen werden und sich auch schnell
im gesamten Unternehmensnetz verbreiten kann. Daher sollten eingehende E-Mails dringend von einem Sicherheitssystem beobachtet werden.

Erkennung mit spotuation Security Monitoring:

Anwender können mit der Lösung überprüfen, ob es Zugriffe auf ihre Systeme mittels des SMB-Protokolls gibt oder in der Vergangenheit gab oder ob Sie Ziel einer Spam-/Phishing-Welle sind oder jüngst waren. Diese Informationen sind abhängig von den eingesetzten Modulen zu finden:

  • Im Echtzeitmonitoring wurden Sie bereits live bei möglichen Spam- oder Phishing-Wellen gewarnt, die vermehrt fragwürdige Dateianhänge beinhalten.
  • Haben Sie den Management-Report abonniert, haben wir bereits mögliche Zugriffe Ihrer IT-Systeme über das SMB-Protokoll analysiert und aufgelistet.
  • Falls Sie wöchentlich einen technischen Report erhalten, stehen die SMB-Zugriffe in der Verbindungsübersicht.
  • Falls Sie den Network-Compliance-Verifier aktiviert haben, können
  • Sie im Webportal gezielt die SMB-Zugriffe finden und dabei direkt die betroffenen IP-Adressen Ihrer Clients ermitteln.
  • Im Expertensystem können Sie sich unter Zuhilfenahme der bekannten SMB-Ports anzeigen lassen, ob Sie solchen Netzwerkverkehr haben.
  • Im ATD-Sensor wurden die speziellen IoCs von Petya integriert.

Zurück