Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

DSAG-Technologietage 2018
20.02.18 - 21.02.18
In Stuttgart

Sourcing von Application Management Services
21.02.18 - 21.02.18
In Frankfurt

Next Generation SharePoint
22.02.18 - 22.02.18
In München

PetyaEine besonders bösartige Ransomware-Familie verbreitet sich gerade rund um den Globus. Und auch wenn der aktuelle Ausbruch einige Ähnlichkeit mit der WannaCry-Ransomware Anfang Mai hatte, warnen Sicherheitsexperten davor, dass die aktuelle Kampagne deutlich professioneller durchgeführt wird. Die Auswirkungen für Firmen sind deutlich schlimmer.

Die F-Secure Labs haben bestätigt, dass es sich bei der aktuellen Ransomware um Malware aus der Petya-Familie handelt. Sie verhält sich wie ein Netzwerk-Wurm, der sich über die gleiche SMB-Schwachstelle wie WannaCry verbreitet. Dabei setzt die Ransomware auf das ExternalBlue Exploit, das von der NSA entwickelt und im Internet veröffentlicht wurde.

Jarkko aus den F-Secure Labs beschreibt Petya in einem Blogpost von 2016 als eine Ransomware mit einem bösartigen Twist. Sie verschlüsselt nicht nur einzelne Dateien, sondern die komplette Festplatte. Bis die Infektion entfernt wurde, ist das System kaum nutzbar.

Das Video zeigt, wie die Petya-Infektion abläuft und was das Opfer sieht

Zum aktuellen Zeitpunkt ist noch nicht bekannt, welchen Angriffsvektor die Kampagne nutzt, das Endresultat ist allerdings das Gleiche. Die meisten Crypo-Ransomware-Familien zielen auf einzelne Dateien und verschlüsseln diese auf der Festplatte. Dadurch haben Opfer zwar keinen Zugriff auf die Informationen, können aber das System noch nutzen. Petya treibt es weiter, nach einer Infektion kann das Opfer das System nicht mehr nutzen.

Auf der technischen Seite geschieht folgendes:

  • Eine bösartige Datei wird ausgeführt;
  • Eine neue Aufgabe wird angelegt, die die infizierte Maschine in einer Stunde neu startet;
  • Während der Nutzer auf den Neustart wartet, durchsucht Petya das Netzwerk nach potentiell zu infizierenden Systemen;
  • Nachdem passende IP-Adressen gesammelt wurden, nutzt Petya die SMB-Schwachstelle und kopiert sich selbst auf die Zielmaschine;
  • Nach dem Neustart beginnt die Verschlüsslung während des Boot-Vorgangs, danach wird die Erpressungsnachricht gezeigt.

Der Ausbruch traf Firmen und Organisationen überall auf der Welt. Zu den betroffenen Ländern gehören Deutschland, Frankreich, Indien, Spanien, Großbritannien und andere. Und ähnlich wie bei WannaCry sind auch Systeme betroffen, die man nicht erwarte – etwa ein Geldautomat in der Ukraine. Und obwohl bei der WannaCry-Attacke ein cleverer Sicherheitsexperte einen Fehler fand und den Angriff stoppen konnte, sieht F-Secure Security Advisor Sean Sullivan keine solche Lösung für die aktuelle Petya-Attacke. „Die WannaCry-Angreifer scheiterten, weil sie auf ihren Erfolg nicht vorbereitet waren. Allerdings fühlt sich diese Petya-Kampagne anders an. Sie ist erst in der ersten Runde, wirkt deutlich professioneller und die Hintermänner sind bereit, abzukassieren“, so Sean. „Mit dieser Attacke ist die Zeit für Anfänger definitiv vorbei.“

Zum aktuellen Zeitpunkt haben etwa 30 Leute die Erpresser bezahlt. Ob die Entschlüsselung funktionierte ist nicht klar, denn scheinbar wurde das genutzte E-Mail-Konto gesperrt. Diese Aktion hat aber laut Sean keinen Einfluss auf die Ausbreitung der Malware.

Firmen müssen über die nächsten Tage extrem vorsichtig sein, wenn sie nicht infiziert werden wollen. Da der Angriff ähnlich abläuft wie bei WannaCry, sind auch die Gegenmaßnahmen ähnlich: Aktualisieren Sie Windows. Blocken Sie in ihrer Firewall den Port 445 für eingehende Verbindungen und nutzen Sie Schutzprogramme auf den jeweiligen Systemen.

www.f-secure.com/de

GRID LIST
Tb W190 H80 Crop Int 9d740e38cf32ac54829d35b81051d48d

Hacker sollen vor Quantentechnologie kapitulieren

Netzwerke, an denen sich Hacker todsicher die Zähne ausbeißen, sind nach einer neuen…
Tb W190 H80 Crop Int 33e73b25261b4f94d72c7793df32609a

Android-Trojaner stiehlt vertrauliche Daten von WhatsApp und Co.

Doctor Web entdeckte im Dezember einen Android-Trojaner, der Nachrichten und Bilder…
Tb W190 H80 Crop Int 8534c86a60d191365cb50a48df651c55

Hackerangriff auf Behörde, um Kryptogeld zu gewinnen

Wie jetzt bekannt wurde, ist das Landesamt für Besoldung und Versorgung Baden-Württemberg…
Tb W190 H80 Crop Int 294d4a259098ca5503fcaff9c2313cc7

Gute IT-Security - Vorsätze für das neue Jahr

Das neue Jahr ist wenige Tage alt und trotzdem haben Cyberkriminelle bereits tausende…
Tb W190 H80 Crop Int 412b12439a8b3e2b4660f00a51585909

IT-Security im Finanzbereich – diese drei Themen bestimmen 2018

Ein turbulentes Jahr liegt hinter der IT-Finanzbranche. Hackerangriffe wurden…
Vogel fängt Wurm

Die Rückkehr des Wurms

Vectra erwartet vermehrt Angriffe mit Würmern, Datendiebstahl in der Cloud und einen…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security