Ransomware Petya infiziert Rechner per Software-Update
Die rasche Ausbreitung der Petya oder auch “NotPetya” respektive “Petna” genannten Ransomware seit gestern Abend hat zahllose Experten auf den Plan gerufen, die sich mit Details der Malware beschäftigen. Nach einigen, teils widersprüchlichen oder nur teilweise übereinstimmenden Aussagen wird das Bild allmählich klarer. Durch eine Analyse von Microsoft, ist nun vieles zum Ursprung der Infektion bekannt geworden.
Die Erkenntnisse von Tim Berghoff, Security Evangelist G DATA, stimmen mit denen von Microsoft weitgehend überein. Berghoff erklärt: “Die aktuelle Infektionswelle nimmt gezielt Unternehmen ins Fadenkreuz. Nach unserem derzeitigen Erkenntnisstand ist eine in Osteuropa weit verbreitete Buchhaltungssoftware für die Verbreitung der Ransomware Petna verantwortlich. Dadurch sind auch zahlreiche Großunternehmen betroffen, die Geschäftsbeziehungen in die Region haben.”
Laut Microsoft handelt sich um eine neue Variante der Ransomware Petya. Die wurde erstmals vor über einem Jahr beobachtet. Die aktuelle Ausprägung geht jedoch wesentlich raffinierter vor und kann sich wie ein Wurm in Netzwerken verbreiten. Außerdem hängt die gewählte Verschlüsselungsmethode von den Berechtigungen ab, die sie erlangen kann. Und indem sie versucht, den Master Boot Record (MBR) zu überschreiben und dann einen Neustart auszulösen, versucht sich, Gegenmaßnahmen zu verhindern.
Gefälschte E-Mails enthalten häufig Viren oder andere Angreifer. Oft sollen auch private und sensible Daten gestohlen werden. Anhand weniger Kriterien lassen sich gefährliche E-Mails jedoch schnell erkennen.
Microsoft führt die ersten Infektionen mit der Ransomware auf Updates für das Programm MEDoc zurück. Dabei handelt es sich um eine Software für Steuerbuchhaltung. Sie wird von Unternehmen verwendet, die mit der ukrainischen Regierung arbeiten. Dementsprechend zeigen erste Auswertungen von Sicherheitsfirmen, zum Beispiel Avira, schwerpunktmäig auch Infektionen in der Ukraine und Russalnd – respektive bei Nutzern mit ukrainischer oder russischer Sprachversion von Windows.
Erfolgreiche Angriffe eingeräumt haben aber auch Rosneft, der größte russische Ölkonzern, die dänische Firma Maersk, die weltweit größte Reederei, der Lebensmittelkonzern Mondelez International, die internationale Rechtsanwaltskanzlei DLA Piper, der französische Glashersteller Saint-Gobain sowie der US-amerikanische Pharma-Konzern Merck.
Mitarbeiter sind heute mit Konnektivität, Mobilität und Video aufgewachsen oder vertraut. Sie nutzen die dazu erforderlichen Technologien privat und auch für die Arbeit bereits jetzt intensiv. Nun gilt es, diese Technologien und ihre Möglichkeiten in Unternehmen strategisch einzusetzen.
Der britische Sicherheitsforscher Marcus Hutchins, der maßgeblich an der Entschärfung der Ransomware WannaCry beteiligt war, sieht den ukrainischen Softwarehersteller als Opfer eines Hackerangriffs. Die Malware sei von ihm dann unwissentlich mit seinem regulären Update verbreitet worden.
Die neue Petya-Variante nutzt wie bereits WannaCry den Exploit EternalBlue, der eine bekannte SMB-Lücke in Windows ausnutzt, greift laut Microsoft aber auch auf einen zweiten, EternalRomance genannten Exploit zurück. Die zugrundeliegenden Schwachstellen hat Microsoft am 14. März durch das Sicherheits-Update MS17-010 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx behoben. Firmen sollten als Schutzmaßnahme nun dringen diesen Patch einspielen oder wenigsten SMBv1 deaktivieren, falls ihnen das nicht möglich ist.
Als Indikatoren, die auf eine Kompromittierung hinweisen, nennen Microsofts Sicherheitsexperten Befehlszeilen für Umgebungen mit Protokollierung, in denen die Suche nach Befehlszeilen möglich ist. In Netzwerken sind außerdem bestimmte Subnet-Scans zu beobachten, die den TCP-Port 139 und den TCP-Port 445 betreffen. Experten von Palo Alto Networks hatten bereits empfohlen TCP-Port 445 nach Möglichkeit zu sperren. Der Sicherheitsexperte Amit Serper hatte eine Datei entdeckt, deren Vorhandensein zwar nicht die Ausbreitung der Ransomware einschränkt, aber den Verschlüsselungsvorgang stoppt. Sie könne von Nutzern vergleichsweise einfach in das passende Verzeichnis geladen werden.