Aktuelles, Branche - geschrieben von dp am Mittwoch, Juni 28, 2017 23:23 - noch keine Kommentare
Ransomware Petya: Internationale Verbreitung über Windows-SMB-Protokoll
Warnung von Palo Alto Networks vor allem an Nutzer ungepatchter Systeme
[datensicherheit.de, 28.06.2017] Nur wenige Wochen nach einer weltweiten Attacke mit Erpressersoftware wurde am 27. Juni 2017 nach Medienberichten eine weitere massive Malware-Attacke gestartet: Betroffen sollen Unternehmen in den USA und der Ukraine, aber auch in Frankreich, Russland und nach Angaben des BSI ebenso in Deutschland sein. Palo Alto Networks hat die ersten Erkenntnisse in einer Stellungnahme über den aktuellen Ransomware-Angriff zusammengefasst.
Ausnutzung des Exploit-Tools „EternalBlue“
Im Laufe des 27. Juni 2017 seien erste Angriffe mit einer neuen Variante der bekannten „Petya“-Malware gemeldet worden, die sich offenbar über das SMB-Protokoll von „Microsoft Windows“ verbreitet.
Diese Malware scheine das Exploit-Tool „EternalBlue“ zu nutzen. Dies sei zugleich die bei der weltweiten Ransomware-Attacke „WannaCry“ von Kriminellen ausgenutzte Schutzlücke. Seither hätten mehrere, auch weltbekannte Unternehmen, Regierungsstellen und Organisationen sowie Betreiber Kritischer Infrastrukturen den Ausfall von Systemen gemeldet.
Sofortmaßnahmen
Palo Alto Networks rät den Nutzern von „Windows“-Systemen daher unbedingt zu folgenden Schritten, um sich zu schützen:
- Installation der Security-Updates MS17-010.
- Eingehende Verbindungen über den TCP-Port 445 blockieren.
- Aktuelle Backups anlegen und diese vor dem Zugriff der Angreifer schützen.
Da die Situation noch nicht vollständige aufgeklärt sei, werde Palo Alto Networks weiter Updates zum Stand der Nachforschungen liefern.
„Master Boot Record“ (MBR) von „Windows“-Systemen wird modifiziert
„Petya“ ist demnach eine Ransomware-Familie, die den „Master Boot Record“ (MBR) von „Windows“-Systemen modifiziert und somit einen Systemcrash verursacht. Wenn die Nutzer dann die Systeme neustarten, sorgt der modifizierte MBR dafür, das „Windows“ nicht mehr bootet, sondern dass stattdessen auf dem Monitor das „Erpresserschreiben“ der Cyber-Kriminellen angezeigt wird, die ein Lösegeld für das gehackte System und dessen verschlüsselte Daten fordern.
In die Hände sei den Angreifern dieses Werkzeug durch die Veröffentlichungen der „Shadow Broker“-Gruppe im April 2017 gefallen, die bis dato geheime „Cyber-Waffen“ der US-Geheimdienste an die Öffentlichkeit gebracht habe.
Nachdem das System befallen ist, werden die Opfer aufgefordert, Bitcoins im Wert von 300 US-Dollar an eine spezifische Bitcoin-Adresse zu senden und dann die Bestätigung via einer bestimmten E-Mail zu schicken, worüber sie dann angeblich den Schlüssel für die Wiederherstellung des Systems bzw. die Entschlüsselung der Daten erhalten sollen. Bisher hätten schon mehrere Opfer den geforderten Betrag überwiesen.
Im Gegensatz zu vielen anderen Malware-Attacken scheine „Petya“ keinen „Command & Control“-Mechanismus zu enthalten – sobald ein Host infiziert ist, wird also keine Kommunikationen zu einem Server des Angreifers hergestellt.
„WannaCry“-Warnschuss nicht gehört
Auch wenn Ransomware-Angriffe mittlerweile recht häufig aufträten, so sei die vorliegende Form, in der Ransomware mit einem Exploit kombiniert die Malware in die Lage versetze, sich wie ein Wurm im Netzwerk zu verbreiten, sehr selten.
Die weltweit erfolgreiche „WannaCry“-Attacke habe gezeigt, dass es noch extrem viele nicht gepatchte Systeme gebe, diese Schwachstelle somit noch nicht geschlossen sei. Die rasanten Verbreitung von „Petya“ zeige nun, dass trotz des Warnschusses durch „WannaCry“ noch immer sehr viele Systeme über diese Schwachstelle erfolgreich angegriffen werden könnten.
„Die Nutzer unserer ,Next Generation Security‘-Plattform sind vor ,Petya‘ geschützt. Dafür halten unsere Systemen gleich mehrere Elemente vor, die sogar ,Windows‘-Systeme schützen, die nicht gepatcht werden können“, sagt Thorsten Henning, „Senior System Engineering Manager“ von Palo Alto Networks.
Ihr auf Prävention ausgelegter Ansatz setze auf automatisierten Schutz, indem man auf jeden Schritt im Lebenszyklus einer Attacke achte und sofort einschreite, „wenn das Verhalten eine Software oder eines Nutzers gefährlich ist“. Henning: „Sobald wir eine Bedrohung erkennen, teilt unser System Informationen über den Angriff mit den Sicherheitssystemen aller unserer Kunden, damit deren System auch binnen weniger Minuten über die Bedrohung informiert sind.“
Aktuelles, Experten - Dez 4, 2024 18:35 - noch keine Kommentare
Vorratsdatenspeicherung in Dauerschleife: eco fordert endlich klare Linie zum Schutz der Grundrechte
weitere Beiträge in Experten
- Crimenetwork: BKA und ZIT gelang Abschaltung
- TÜV Rheinland meldet weiter verschärfte IT-Sicherheitslage in Deutschland
- Datensouveränität: Bedeutung der Self Sovereign Identities
- Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen
- Beantragung kostenfreier Schufa-Auskünfte gegen Entgelt: Verbraucherzentrale NRW moniert Web-Angebote
Aktuelles, Branche, Studien - Dez 6, 2024 13:54 - noch keine Kommentare
KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch
weitere Beiträge in Branche
- Banken müssen Cyber-Bedrohungslandschaft mit fortschrittlicher Sicherheitsstrategie begegnen
- KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert
- Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe
- Rund um den Black Friday 2024: Cyber-Gefahren für Einzelhandel drastisch zugenommen
- NIS-2 kompakt: it’s.BB e.V. lädt zu Präsenz-Awareness-Veranstaltung ein
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren