VERANSTALTUNGEN

USU World 2018
06.06.18 - 07.06.18
In World Conference Center Bonn

CEBIT 2018
11.06.18 - 15.06.18
In Hannover

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

next IT Con
25.06.18 - 25.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

PetyaEine besonders bösartige Ransomware-Familie verbreitet sich gerade rund um den Globus. Und auch wenn der aktuelle Ausbruch einige Ähnlichkeit mit der WannaCry-Ransomware Anfang Mai hatte, warnen Sicherheitsexperten davor, dass die aktuelle Kampagne deutlich professioneller durchgeführt wird. Die Auswirkungen für Firmen sind deutlich schlimmer.

Die F-Secure Labs haben bestätigt, dass es sich bei der aktuellen Ransomware um Malware aus der Petya-Familie handelt. Sie verhält sich wie ein Netzwerk-Wurm, der sich über die gleiche SMB-Schwachstelle wie WannaCry verbreitet. Dabei setzt die Ransomware auf das ExternalBlue Exploit, das von der NSA entwickelt und im Internet veröffentlicht wurde.

Jarkko aus den F-Secure Labs beschreibt Petya in einem Blogpost von 2016 als eine Ransomware mit einem bösartigen Twist. Sie verschlüsselt nicht nur einzelne Dateien, sondern die komplette Festplatte. Bis die Infektion entfernt wurde, ist das System kaum nutzbar.

Das Video zeigt, wie die Petya-Infektion abläuft und was das Opfer sieht

Zum aktuellen Zeitpunkt ist noch nicht bekannt, welchen Angriffsvektor die Kampagne nutzt, das Endresultat ist allerdings das Gleiche. Die meisten Crypo-Ransomware-Familien zielen auf einzelne Dateien und verschlüsseln diese auf der Festplatte. Dadurch haben Opfer zwar keinen Zugriff auf die Informationen, können aber das System noch nutzen. Petya treibt es weiter, nach einer Infektion kann das Opfer das System nicht mehr nutzen.

Auf der technischen Seite geschieht folgendes:

  • Eine bösartige Datei wird ausgeführt;
  • Eine neue Aufgabe wird angelegt, die die infizierte Maschine in einer Stunde neu startet;
  • Während der Nutzer auf den Neustart wartet, durchsucht Petya das Netzwerk nach potentiell zu infizierenden Systemen;
  • Nachdem passende IP-Adressen gesammelt wurden, nutzt Petya die SMB-Schwachstelle und kopiert sich selbst auf die Zielmaschine;
  • Nach dem Neustart beginnt die Verschlüsslung während des Boot-Vorgangs, danach wird die Erpressungsnachricht gezeigt.

Der Ausbruch traf Firmen und Organisationen überall auf der Welt. Zu den betroffenen Ländern gehören Deutschland, Frankreich, Indien, Spanien, Großbritannien und andere. Und ähnlich wie bei WannaCry sind auch Systeme betroffen, die man nicht erwarte – etwa ein Geldautomat in der Ukraine. Und obwohl bei der WannaCry-Attacke ein cleverer Sicherheitsexperte einen Fehler fand und den Angriff stoppen konnte, sieht F-Secure Security Advisor Sean Sullivan keine solche Lösung für die aktuelle Petya-Attacke. „Die WannaCry-Angreifer scheiterten, weil sie auf ihren Erfolg nicht vorbereitet waren. Allerdings fühlt sich diese Petya-Kampagne anders an. Sie ist erst in der ersten Runde, wirkt deutlich professioneller und die Hintermänner sind bereit, abzukassieren“, so Sean. „Mit dieser Attacke ist die Zeit für Anfänger definitiv vorbei.“

Zum aktuellen Zeitpunkt haben etwa 30 Leute die Erpresser bezahlt. Ob die Entschlüsselung funktionierte ist nicht klar, denn scheinbar wurde das genutzte E-Mail-Konto gesperrt. Diese Aktion hat aber laut Sean keinen Einfluss auf die Ausbreitung der Malware.

Firmen müssen über die nächsten Tage extrem vorsichtig sein, wenn sie nicht infiziert werden wollen. Da der Angriff ähnlich abläuft wie bei WannaCry, sind auch die Gegenmaßnahmen ähnlich: Aktualisieren Sie Windows. Blocken Sie in ihrer Firewall den Port 445 für eingehende Verbindungen und nutzen Sie Schutzprogramme auf den jeweiligen Systemen.

www.f-secure.com/de

GRID LIST
Tb W190 H80 Crop Int Cc956cb8b76a48ab25093365b37dfc0c

Spectre-NG: Weitere Sicherheitslücken in Prozessoren

Im Januar 2018 wurden unter den Bezeichnungen "Spectre" und "Meltdown" schwer zu…
Tb W190 H80 Crop Int Fff03ad1554fb492cd1df6c7ccf69ca1

Telegram Chatgruppen als neuen Marktplatz für Cybercrime

Die Sicherheitsforscher von Check Point Software Technologies, erkennen eine neue…
Tb W190 H80 Crop Int 6146d7037a40c2f874a1f5d3399939c7

User Bashing: Mitarbeiter sind mit IT-Sicherheit überfordert

Die IT-Sicherheit lädt zu viel Verantwortung auf den Mitarbeitern ab. Günter Junk, CEO…
Tb W190 H80 Crop Int Ffc884102cf599e1985eaa1355f9b2fa

Probleme PGP und S/MIME sind keine Überraschung

Verschlüsselte E-Mails sind „nicht mehr sicher“ - Forschern ist es gelungen, diesen…
Tb W190 H80 Crop Int 5db74c35038f85cc90618c59a5cf8fbe

E-Mail-Verschlüsselung bleibt sicher

Am 14.05.2018 veröffentlichte ein Team aus Sicherheitsforschern der Fachhochschule…
Tb W190 H80 Crop Int 7f34eb55b3556a8251b3162716d61345

Efail-Schwachstellen

Sicherheitsforscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security