Petya: Bedeutung größer als nur die von einer Art WannaCry 2.0

Jüngste Angriffe haben das Potenzial, die Welt zumindest teilweise zum Stoppen zu bringen

[datensicherheit.de, 28.06.2017] Die jüngste, weltweite Angriffswelle der Ransomware „Petya“ weist nach Auffassung von Thomas Ehrlich, „Country Manager DACH“ bei Varonis, „auffallende Ähnlichkeiten“ zu „WannaCry“ auf, habe dabei aber das Potenzial, noch bedeutend mehr Schaden anzurichten.

Kein „Kill Switch“

So scheine es hierbei keinen „Kill Switch“ zu geben, der bei ,WannaCry‘ die Ausbreitung nachhaltig eingeschränkt habe. Gleichwohl nutze „Petya“ die gleichen NSA-Exploits wie „WannaCry“, d.h. „ETERNALBLUE“, verhindere aber das Booten der Opfer-Computer anstatt „lediglich“ die Erpresser-Nachricht anzuzeigen. Die neue Attacke verschlüssele also nicht nur die Dateien, sondern kapere den ganzen Computer, und könne sich so schnell und weit verbreiten.

Dringend: Aufspielen des SMB-Patches!

Das allererste, das Unternehmen jetzt tun sollten, um nicht infiziert zu werden, sei das Aufspielen des SMB-Patches – von Microsoft in Zusammenhang mit „WannaCry“ herausgebracht.
Mittlerweile hätten zahlreiche AV-Anbieter ihre Software aktualisiert. Zu Beginn der Welle habe jedoch nur etwa ein Viertel der Lösungen „Petya“ erkennen können, was wieder einmal die Notwendigkeit von nicht-signaturbasierten Ansätzen unterstreiche: Zwangsläufig seien diese klassischen Lösungen immer einen Schritt hinterher, da die Schadsoftware nur minimal verändert werden müsse, um nicht erkannt zu werden.
Aus diesem Grund sollten Unternehmen und Behörden ihre Sicherheitsstrategie generell überdenken: Anstatt zu versuchen, „immer höhere Wände zu bauen“, sei es bedeutend effektiver, durch Daten- und Verhaltensanalysen Angreifer im Inneren zu stellen. Einen ähnlichen Ansatz verfolgten übrigens auch Finanzinstitute sehr erfolgreich bei der Feststellung von Kreditkartenbetrug.

Sicherheitsrichtlinien an moderne Bedrohungslandschaft anpassen!

Natürlich sei es von größter Bedeutung, das System durch Patches und Updates stets auf dem neusten Stand zu halten, aber langfristig müssten Unternehmen ihre Sicherheitsrichtlinien an die moderne Bedrohungslandschaft anpassen. Ehrlich: „Das bedeutet die Einführung eines Privilegienmodells auf Grundlage einer minimalen Rechtevergabe sowie die Analyse des Datei- und Nutzerverhaltens, um Auffälligkeiten sofort festzustellen und zu unterbinden.“
Diese erforderlichen Maßnahmen nicht zu ergreifen, um moderne Malware zu adressieren, habe eine verheerende globale Wirkung und setze Behörden, Infrastruktureinrichtungen und Unternehmen matt. Diese Angriffe hätten das Potenzial, die Welt zumindest teilweise zum Stoppen zu bringen. „Wir müssen unbedingt proaktiv für die Fälle planen, bei denen es Angreifern gelingt, die erste Verteidigungslinie zu überwinden, und unsere Sicherheitsstrategie so ausrichten, dass wir in der Lage sind, die Daten im Inneren schützen, wenn die Perimeter-Security versagt“, betont Ehrlich.

Weitere Informationen zum Thema:

datensicherheit.de, 28.06.2017
Ransomware Petya: Internationale Verbreitung über Windows-SMB-Protokoll

datensicherheit.de, 28.06.2017
Weltweite Ransomware-Attacke: Petya alarmiert Unternehmen