Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

AUTOMATE IT 2017
28.09.17 - 28.09.17
In Darmstadt

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

3. Esslinger Forum: Das Internet der Dinge
17.10.17 - 17.10.17
In Esslingen

Transformation World
19.10.17 - 20.10.17
In Heidelberg

Julian Totzek-HallhuberNach WannaCry stehen Unternehmen nun vor dem nächsten verheerenden Ransomeware-Angriff namens Petya. Wie der Angriff funktioniert und wie sich unternehmen schützen können, erklärt Julian Totzek-Hallhuber, Solutions Architect bei Veracode, im untern stehenden Kommentar.

Nachdem viele Unternehmen ihre Sicherheitsprodukte aktualisiert haben, um WannaCry zu identifizieren, hielten sie sich für abgesichert gegen diese und ähnliche Angriffe in der Zukunft - ein Trugschluss, den sich Unternehmen nicht leisten können.

Ein kurzer Scan von Petya via VirusTotal hat gezeigt, dass nur zwei Anbieter die aktuelle Ransomware Peyta überhaupt entdeckt haben - es ist also sehr wahrscheinlich, dass viele Systeme gänzlich ungeschützt gegen die neue Ransomware-Kampagne sind. Das zeigt vor allem, wie einfach es für die Entwickler von Malware ist, Endpoint-Sicherheitsmechanismen zu umgehen, indem sie wiederverwendeten Code leicht modifizieren.

Die Peyta Ransomware verbreitet sich genauso wie WannaCry - über einen Exploit namens EternalBlue. Der entsprechende Code wurde in der Malware gefunden und es gab EternalBlue Exploit Traffic im Netzwerk. Außerdem gibt es zusätzliche Verbreitungsvektoren, die Credentials von Geräten nutzen, die von der EternalBlue Sicherheitslücke betroffen sind. Diese werden dann genutzt, um sich mit Maschinen zu vernetzen und sie zu infizieren, obwohl sie vollständig gepatcht sind. Auch wenn es also nur sehr wenige ungepatchte Geräte gibt, können diese dennoch zu einem massiven Problem in der gesamten Windows-Infrastruktur führen. Mit einem einfachen Windows-Update können sich Unternehmen gegen EternalBlue schützen – viele Unternehmen haben ihre Patches nach WannaCry nicht vollständig ausgeführt, da der Kill Switch sehr schnell funktioniert hat.

Das zeigt sehr deutlich, unter welchem Druck IT-Abteilungen heute jeden Tag stehen. Das gilt besonders auch für große Industrieunternehmen wie das Logistikunternehmen Maersk und die Öl-Firma Rosneft, die aktuell von Peyta betroffen sind. Gerade für solche Unternehmen ist es häufig schwierig, alle ihre Geräte zu patchen, denn viele der verwendeten Systeme können sich absolut keinen Stillstand erlauben. Ähnlich komplex ist das Patchen für kritische Infrastrukturen wie beispielsweise Flughäfen.

www.veracode.com
 

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet