[datensicherheit.de, 25.10.2017] Fast vier Monate nach der letzten großen Ransomware-Welle verbreitet sich offensichtlich derzeit eine neue Variante von „Petya“ mit dem Namen „Bad Rabbit“. Infektionen sollen neben Russland und der Ukraine auch schon aus Deutschland und der Türkei gemeldet worden sein. Nach Erstinfektion mit „Bad Rabbit“ verbreite sich die Payload der Ransomware wie schon bei den Vorgängern aus eigenem Antrieb innerhalb des Unternehmensnetzwerks, weshalb diese Malware als hochansteckend gilt.

Gefälschtes Icon eines „Adobe Flash Player“-Downloads

Seinen Ausgangspunkt habe diese neue Infektionswelle bei den beiden russischen Nachrichtenagenturen Fontanka und Interfax genommen. Von dort aus erfolge ein Redirekt zu einer weiteren infizierten Seite, welche die ausführbare Payload der Ransomware enthalte.
In dem von der „Zscaler Cloud Sandbox“ erkannten Payload handele es sich unter anderem um ein gefälschtes Icon eines „Adobe Flash Player“-Downloads.

Nach erfolgter Infektion automatischer Neustart des befallenen Systems

Nach der erfolgten Infektion starte sich das befallene System neu – und der Anwender werde durch den folgenden Ransom-Bildschirm mit der Erpressungsforderung konfrontiert:
Dessen Anzeige weise darauf hin, dass die Daten verschlüsselt worden seien und nicht mehr zur Verfügung stünden. Um weitere Anweisung zur Zahlung der Erpressungssumme zu erhalten, werde nach der Eingabe des persönlichen Installations-Keys verlangt.

Weitere Informationen zum Thema:

datensicherheit.de, 25.10.2017
Neue Ransomware-Kampagne: Bad Rabbit tarnt sich als Flash-Update

datensicherheit.de, 25.10.2017
Neue Ransomware grassiert: Bad Rabbit bringt Branche in Aufruhr

[datensicherheit.de, 12.07.2017] Immer häufiger verteilen Cyberkriminelle ihre Schadsoftware, ohne dass diese sofort aktiv wird. So warnt etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI) aktuell davor, dass eine Infektion mit dem Verschlüsselungstrojaner Petya/NotPetya bereits im April erfolgt sein kann, die Angriffsfunktionen bislang allerdings noch nicht ausgelöst wurden. Daher müsse man auch Backups, die seit dem Angriffszeitpunkt im April 2017 angelegt wurden, als potenziell kompromittiert betrachten.

Andrew Stuart, Managing Director EMEA, Datto, sieht zahlreiche Unternehmen dadurch in einer fatalen Lage:

 „Die Vorgehensweise der Cyberkriminellen zeigt eine Schwachstelle in Unternehmen auf, die sich in puncto IT-Security voll und ganz auf die Kontrolle des eingehenden Netzwerkverkehrs und Traffics verlassen. Denn viele Erkennungsalgorithmen und -signaturen waren in den frühsten Zeiten der Attacke noch nicht in der Lage, die Bedrohung zu erkennen.

Sitzt die Malware in den Datensicherungen, ist es wie bei der Infektion mit einer ansteckenden Krankheit – eine Impfung nach der Übertragung nützt nichts. In diesem Fall müssen die Backups auf eine mögliche Infektion überprüft werden, was technologisch keine allzu diffizile Aufgabe ist.

 Schwierig wird die Situation für Firmen, die für ihre Backups nur relativ kurze Aufbewahrungszeiten eingerichtet haben. Im vorliegenden Fall sind es drei Monate, die eine Infektion zurückliegen kann – wer für diesen Zeitraum nicht über einen lückenlosen Backup-Bestand verfügen kann, hat ein Problem.

Und dieses Problem kann sogar noch anwachsen, denn niemand kann wirklich exakt bestimmen, zu welchem Zeitpunkt mit der Verteilung der Malware begonnen wurde. Auch ist es durchaus möglich, dass nicht nur Petya/NotPetya in einem System als Zeitbombe platziert wurde, sondern auch weitere, bislang noch nicht bekannte Malware.

Da erscheint eine Situation nicht abwegig, in der ein Unternehmen die Datensicherungen aus der Woche vor dem angenommenen Starttermin der Angriffswelle einspielt, nur um anschließend festzustellen, dass das System bereits infiziert war.

Die Verfügbarkeit lückenloser Backups sollte sich also nicht auf einen Zeitraum von wenigen Wochen oder Monaten beschränken. Schließlich gilt es, einen längeren Atem als die Cyberkriminellen zu haben.“

Weitere Informationen zum Thema:

datensicherheit.de, 07.07.2017
Petya: Bedrohung laut BSI größer als bisher bekannt

[datensicherheit.de, 07.07.2017] Die Bedrohungslage durch den Cyber-Angriff, der unter dem Namen Petya (auch: NotPetya, ExPetr, DiskCoder.C) bekannt wurde, Ende Juni aktuellen Erkenntnissen zur Folge auch für deutsche Unternehmen größer als bislang angenommen.

Analysen von IT-Sicherheitsforschern legen dabei nahe, dass bereits seit April 2017 in mehreren Wellen unterschiedliche Schadsoftwarevarianten über die Update-Funktion der in der Ukraine weit verbreiteten Buchhaltungssoftware M.E.Doc verteilt wurden. Damit können auch Unternehmen von diesem Cyber-Angriff betroffen sein, die M.E.Doc einsetzen, aber augenscheinlich nicht vom öffentlich bekanntgewordenen Verschlüsselungstrojaner Petya betroffen waren. Auch Datensicherungen (Backups), die nach dem 13.04.2017 angelegt wurden, müssen als potentiell kompromittiert betrachtet werden.
Die unterschiedlichen Schadsoftwarevarianten ermöglichen das Ausspähen von Daten aus den betroffenen Firmennetzwerken. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bewertet diese Analysen als plausibel.

Schadenspotential mindestens so hoch wie bei WannaCry

Dazu erklärt BSI-Präsident Arne Schönbohm: „Wir beobachten hier, ähnlich wie im Fall WannaCry, dass die Täter über die gleichen Verbreitungswege weitere Schadsoftware verteilt haben, die sich im Gegensatz zu Verschlüsselungstrojanern nicht sofort bemerkbar machen. Ihr Schadenspotential ist dabei allerdings mindestens ebenso hoch. Unternehmen sind daher aufgefordert, Cyber-Sicherheit auch ohne akuten Anlass als Voraussetzung einer erfolgreichen Digitalisierung zu begreifen und IT-Sicherheitsmaßnahmen konsequent umzusetzen.“

Dem Behörde liegen zudem Informationen vor, die deutlich machen, dass die von der Schadsoftware betroffenen Firmen/Organisationen erhebliche Anstrengungen unternehmen müssen, um zum Teil kritische Geschäftsprozesse wiederherstellen zu können.

Schönbohm: „In einigen Unternehmen in Deutschland stehen seit über eine Woche die Produktion oder andere kritische Geschäftsprozesse still. Hier entstehen Schäden in Millionenhöhe und das bei einem IT-Sicherheitsvorfall, bei dem Deutschland im Grunde mit einem blauen Auge davon gekommen ist. Wir müssen die Resilienz gegen Cyber-Angriffe in Deutschland weiter konsequent erhöhen und Informationssicherheit mit höchster Priorität behandeln.“

Vom BSI werden dringend folgende Schutzmaßnahmen empfohlen:

• Auf M.E.Doc Software angewiesene Unternehmen sollten Computersysteme, auf denen diese Software installiert ist, in separierten Netzbereichen kapseln, verstärkt überwachen und sowohl diese als auch von dort erreichbare Systeme auf zusätzliche, möglicherweise bereits stattgefundene Kompromittierungen untersuchen
• Auf infizierten Rechnern sollten alle Passwörter geändert werden
• Infizierte Rechner sollten idealerweise neu aufgesetzt werden
• Umsetzung einer Netzwerksegmentierung
• Erstellen und Vorhalten von Daten-Sicherungen (Backups)
• Überprüfung der Administratorenrechte:
  • Lokale Administratoren sollten sich nicht über das interne Netz einloggen können
  • Lokale Administratoren dürfen auf unterschiedlichen Rechnern nicht das gleiche Passwort haben
  • Idealerweise sollte der lokale Administrator deaktiviert sein-
• Einspielen aktueller Patches für Software und Betriebssysteme, insbesondere des Microsoft-Patches
  MS17-010
• Aktualisierung der eingesetzten Antiviren-Programme

Das BSI empfiehlt zudem, im Zweifel externe IT-Fachkräfte zur Analyse und Bereinigung der Infektionen hinzuzuziehen.

Betroffene Unternehmen können sich unter meldestelle [at] bsi [dot] bund [dot] de an das BSI wenden.

Weitere Informationen zum Thema:

datensicherheit.de, 29.06.2017
Sogenannte Petya-Attacke: Vermutung zu möglichen Beweggründen und Zielen

[datensicherheit.de, 29.06.2017] Kevin Magee, „Global Security Strategist“ bei Gigamon, äußert in einer Stellungnahme zum aktuellen Ransomware-Großangriff, dass es interessant sei vor allem zu fragen, welche Motiven und Zielen der Angreifer hat. Magee hat sich nach eigenen Angaben deshalb die Strategien, Besonderheiten – und vor allem die Ungereimtheiten – hinter der aktuellen „Petya“-/“NotPetya“-Attacke angesehen und sie analysiert.

Schnelle Ausbreitung in infizierten Netzwerken

Magee: „Dieser Angriff – ich nenne ihn der Einfachheit halber ebenfalls ,NotPetya‘ – ist noch weitaus faszinierender als ,WannaCry, vor einigen Wochen. Wir alle wissen inzwischen, dass es die Exploits aus dem NSA-Dump waren, die auch den aktuellen Angriff ermöglicht haben, allerdings sind die Kriminellen sehr viel geschickter vorgegangen, was die Ausbreitung und die Vermeidung von Entdeckung angeht; der Schadcode kann sich, im Gegensatz zu ,WannaCry‘, sehr schnell in einem einmal infizierten Netzwerk ausbreiten – was ihn ungleich gefährlicher macht – und die Malware scheint eine Aktivierungsverzögerung eingebaut zu haben.“
Es werde berichtet, dass zwischen der Infizierung eines Systems und dem Aktivwerden der Malware zehn bis 60 Minuten vergingen. Dies lasse darauf schließen, dass die Malware konstruiert worden sei, um Erkennung in „Sandbox“-Umgebungen zu vermeiden – eine gängige Abwehrmaßnahme im Unternehmensumfeld. Das wiederum weise darauf hin, dass „NotPetya“ speziell auf große Konzerne und Unternehmensstrukturen zugeschnitten wurde, nicht auf KMU oder Privatanwender. Die letzteren beiden seien aber diejenigen, „die am ehesten das Lösegeld bei Ransomware-Attacken zahlen“, so Magee.

Große Ungereimtheiten dieses Falles

Da hätten wir laut Magee eine der großen Ungereimtheiten des Falles: Wer auch immer dahintersteckt, sei unglaublich fortgeschritten beim Entwerfen der Malware, dem Infizieren und der Ausbreitung, gehe aber beim zentralen Teil einer Ransomware-Attacke – dem Abgreifen eines Lösegelds – vollkommen unzulänglich vor.
„Einer der Gründe warum Ransomware so beliebt ist, war dass damit in der jüngeren Vergangenheit das große Geld zu machen war.“ Letztes Jahr alleine erbeuteten Verbrecher mit dieser Taktik über über Milliarde US-Dollar. Dies beinhaltete Ransomware wie „Locky“ (150 Millionen US-Dollar), „Cryptowall“ (100 Millionen US-Dollar) und „Cerber“ (50 Millionen US-Dollar). Heute hätten wir es mit Angriffen zu tun, die sich so weit verbreiteten wie noch keiner vor ihnen, aber „NotPetya“ habe keine 10.000 US-Dollar in Bitcoin-Überweisungen eingebracht – Geld, an das die Kriminellen wahrscheinlich nicht einmal herankämen, berichtet Magee. Die Verursacher müssten gewusst haben, dass das einzelne Bitcoin-Konto, das sie angegeben haben, sofort strengstens überwacht werden würde. Hinzu kämen weitere Ungereimtheiten, wie das völlige Fehlen eines „User Support“, der nicht-IT-affinen Opfern erklärt, wie man Bitcoins überweist – früher ein absolutes Muss für Ransomware, da genau dies die bevorzugten Opfer gewesen seien.

Erprobung der Technik und Chaos

„So sehr mich das an das frühe Silicon Valley erinnert – geniale IT-Profis, die keine Ahnung von Wirtschaft und Geschäftsführung haben – komme ich anhand dieser Indizien zu einem anderen Schluss: Hier wurde ein gut durchdachter, auf große Organisationen abzielender und sich schnell ausbreitender Schadcode geschrieben und im letzten Moment halbgar eine Ransomware-Komponente hinzugefügt“, sagt Magee. Auch deshalb hält er Vermutungen, es wäre die mit Nordkorea in Verbindung gebrachte „Lazarus Group“ gewesen, für unwahrscheinlich. Dies Gruppierung habe mit sehr erfolgreichen Attacken in der Vergangenheit – die Angriffe auf die Bangladesh Bank via SWIFT und Sony seien die bekanntesten Beispiele – gezeigt, dass sie wirtschaftlich und zielgerichtet arbeiteten.
Die Angreifer im aktuellen Fall aber seien, wenn nicht auf Geld, dann auf zwei andere Dinge aus gewesen: „Erprobung ihrer Technik und Chaos.“ Ersteres sehe man inzwischen vermehrt, und auch bei „WannaCry“ habe es Vermutungen gegeben, dass es ein einfach nur zu früh gestarteter Testlauf gewesen sei. „Folgt man aber der Verbreitung von Chaos als Motiv, dann fallen weitere Indizien auf, die auf einen klaren Ursprung hinweisen: Russland“, meint Magee.
Die Attacke sei nach allem, was man bisher weiß, so konstruiert, „dass sich die Malware schnell und möglichst aufmerksamkeitswirksam in der Ukraine ausbreitet“. Überdies sei dies am 27. Juni 2017 geschehen – am 28. Juni feiere die Ukraine die Unabhängigkeit von der Sowjetunion. „Die Tatsache, dass mit Rosnef und Evaz auch zwei prominente russische Unternehmen getroffen wurden, halte ich für Kollateralschaden“, so Magee.

Foto: Finn Partners DACH

Kevin Magee: Chaos und Austesten eigener Möglichkeiten als Ziel – nicht Kassieren des Lösegelds

Ransomware-Front nur zur Tarnung

Ransomware sei immer noch eine Software und diese unterscheide nicht, in welchem Land die Rechner stehen, und da diese Attacke so sehr auf schnelle Verbreitung ausgelegt gewesen sei, sei es schwer zu steuern, in welche Richtung es geht. Mit „Friendly Fire“ sei dabei ebenso zu rechnen, wie mit einer wahrscheinlich gewollten globalen Ausbreitung.
„Nimmt man deshalb alle Faktoren und Indizien zusammen – die amateurhafte Lösegeld-Forderung, die Zielsetzung auf große Unternehmen, der Start in der Ukraine mit wahrscheinlich zusätzlichen Maßnahmen, dass sich die Malware dort noch schneller verbreitet und das geschichtsträchtige Datum in der aktuellen Konfliktlage – bleibt für mich nur der Schluss, dass dieser Angriff seinen Ursprung in Russland hatte, auf Chaos und das Austesten der eigenen Möglichkeiten abzielte und nie das Kassieren des Lösegelds im Sinn hatte, sondern die Ransomware-Front nur zur Tarnung nutzte“, folgert Magee.

Weitere Informationen zum Thema:

datensicherheit.de, 28.06.2017
Petya: Bedeutung größer als nur die von einer Art WannaCry 2.0

[datensicherheit.de, 28.06.2017] Die jüngste, weltweite Angriffswelle der Ransomware „Petya“ weist nach Auffassung von Thomas Ehrlich, „Country Manager DACH“ bei Varonis, „auffallende Ähnlichkeiten“ zu „WannaCry“ auf, habe dabei aber das Potenzial, noch bedeutend mehr Schaden anzurichten.

Kein „Kill Switch“

So scheine es hierbei keinen „Kill Switch“ zu geben, der bei ,WannaCry‘ die Ausbreitung nachhaltig eingeschränkt habe. Gleichwohl nutze „Petya“ die gleichen NSA-Exploits wie „WannaCry“, d.h. „ETERNALBLUE“, verhindere aber das Booten der Opfer-Computer anstatt „lediglich“ die Erpresser-Nachricht anzuzeigen. Die neue Attacke verschlüssele also nicht nur die Dateien, sondern kapere den ganzen Computer, und könne sich so schnell und weit verbreiten.

Dringend: Aufspielen des SMB-Patches!

Das allererste, das Unternehmen jetzt tun sollten, um nicht infiziert zu werden, sei das Aufspielen des SMB-Patches – von Microsoft in Zusammenhang mit „WannaCry“ herausgebracht.
Mittlerweile hätten zahlreiche AV-Anbieter ihre Software aktualisiert. Zu Beginn der Welle habe jedoch nur etwa ein Viertel der Lösungen „Petya“ erkennen können, was wieder einmal die Notwendigkeit von nicht-signaturbasierten Ansätzen unterstreiche: Zwangsläufig seien diese klassischen Lösungen immer einen Schritt hinterher, da die Schadsoftware nur minimal verändert werden müsse, um nicht erkannt zu werden.
Aus diesem Grund sollten Unternehmen und Behörden ihre Sicherheitsstrategie generell überdenken: Anstatt zu versuchen, „immer höhere Wände zu bauen“, sei es bedeutend effektiver, durch Daten- und Verhaltensanalysen Angreifer im Inneren zu stellen. Einen ähnlichen Ansatz verfolgten übrigens auch Finanzinstitute sehr erfolgreich bei der Feststellung von Kreditkartenbetrug.

Sicherheitsrichtlinien an moderne Bedrohungslandschaft anpassen!

Natürlich sei es von größter Bedeutung, das System durch Patches und Updates stets auf dem neusten Stand zu halten, aber langfristig müssten Unternehmen ihre Sicherheitsrichtlinien an die moderne Bedrohungslandschaft anpassen. Ehrlich: „Das bedeutet die Einführung eines Privilegienmodells auf Grundlage einer minimalen Rechtevergabe sowie die Analyse des Datei- und Nutzerverhaltens, um Auffälligkeiten sofort festzustellen und zu unterbinden.“
Diese erforderlichen Maßnahmen nicht zu ergreifen, um moderne Malware zu adressieren, habe eine verheerende globale Wirkung und setze Behörden, Infrastruktureinrichtungen und Unternehmen matt. Diese Angriffe hätten das Potenzial, die Welt zumindest teilweise zum Stoppen zu bringen. „Wir müssen unbedingt proaktiv für die Fälle planen, bei denen es Angreifern gelingt, die erste Verteidigungslinie zu überwinden, und unsere Sicherheitsstrategie so ausrichten, dass wir in der Lage sind, die Daten im Inneren schützen, wenn die Perimeter-Security versagt“, betont Ehrlich.

Weitere Informationen zum Thema:

datensicherheit.de, 28.06.2017
Ransomware Petya: Internationale Verbreitung über Windows-SMB-Protokoll

datensicherheit.de, 28.06.2017
Weltweite Ransomware-Attacke: Petya alarmiert Unternehmen

[datensicherheit.de, 28.06.2017] Am 27. Juni 2017 wurden binnen weniger Stunden erfolgreiche Cyber-Attacken mit der Erpressersoftware „Petya“ von zahlreichen Unternehmen in mehreren Ländern gemeldet. Obwohl „Petya“ offenbar auf einem Ansatz basiert, den unlängst Cyber-Kriminelle bei der Kampagne „WannaCry“ gesetzt haben, verpassten es offensichtlich sehr viele Organisationen, die notwendigen Vorkehrungen zu treffen. Gérard Bauer, „VP EMEA“ bei Vectra Networks, nimmt Stellung zur aktuellen Ransomware-Attacke und weist auf die Problematik konventioneller Sicherheitslösungen sowie ungepatchter Systeme hin.

Besonders heimtückischer Angriff

Bauer: „Jeder Sicherheitsanbieter, der behauptet er könne ein Unternehmen garantiert vor solch einer Art von Attacke vollständige schützen, ist nicht ehrlich. Der Punkt ist: Der Angreifer muss nur ein einziges Mal an einer Stelle erfolgreich ins Netzwerk eindringen, und schon ist es geschehen. Die angreifbare Oberfläche ist in vielen Organisationen zu groß um perfekt geschützt zu werden. Bei der aktuellen Ransomware, die sich wie ein Wurm verhält und verbreitet, nutzen die Angreifer einen Pyramiden—Ansatz. Sie verschlüsseln die Boot-Sektion der Rechner, und eben nicht nur die Dateien. Dies macht den Angriff besonders heimtückisch.“
Sobald die Betroffenen merken, dass ihr System infiziert ist, sei davon auszugehen, dass bereits mehrerer Dutzend Systeme im gleichen Netzwerk auch schon infiziert sind. So entstehe eine „Hase und Igel“-Spiel in Lichtgeschwindigkeit.

Herausforderung für die IT-Sicherheitsbranche

Der US-Geheimdienst NSA habe dieses Werkzeug extra dafür entwickelt, um die konventionelle Sicherheitssysteme zu umgehen, die in vielen Organisationen noch immer eingesetzt werden. Diese Attacke sei somit auch eine Herausforderung für die IT-Sicherheitsbranche, um gegen solche Angriffe in Zukunft gerüstet zu sein um auch ungepatchte Systeme zu schützen.
Ähnliche Malware – wie „WannaCry“ und „Conficker“ – bei vorhergehenden Angriffen habe sich wie ein Wurm verbreitet und sei von Sicherheits-Systemen auf Basis Künstlicher Intelligenz frühzeitig in den ersten Phasen der Attacken erkannt und gestoppt worden.
„Wir gingen davon aus, dass die große Aufmerksamkeit für ,WannaCry‘ dafür gesorgt hat, dass sich Unternehmen und andere Organisationen besser schützen, ihre ,Windows‘-Systeme patchen und die bekannte Sicherheitslücke somit schließen. Dies scheint aber nicht der Fall zu sein, wenn wir uns anschauen, wie schnell und weit sich die aktuelle Ransomware-Attacke verbreitet“, so Bauer. Unternehmen, die aus technischen Gründen Mühe haben, ihre alten ,Windows‘-Systeme zu patchen, sollten sich dringend nach alternativen Lösungen umsehen. Das Aufkommen von Künstlicher Intelligenz in der IT-Sicherheit könnte ein Weg sein.

Mehr Informationen zum Thema:

datensicherheit.de, 25.03.2016
Malwareattacke: Petya verschlüsselt ganze Festplatten

[datensicherheit.de, 28.06.2017] Nur wenige Wochen nach einer weltweiten Attacke mit Erpressersoftware wurde am 27. Juni 2017 nach Medienberichten eine weitere massive Malware-Attacke gestartet: Betroffen sollen Unternehmen in den USA und der Ukraine, aber auch in Frankreich, Russland und nach Angaben des BSI ebenso in Deutschland sein. Palo Alto Networks hat die ersten Erkenntnisse in einer Stellungnahme über den aktuellen Ransomware-Angriff zusammengefasst.

Ausnutzung des Exploit-Tools „EternalBlue“

Im Laufe des 27. Juni 2017 seien erste Angriffe mit einer neuen Variante der bekannten „Petya“-Malware gemeldet worden, die sich offenbar über das SMB-Protokoll von „Microsoft Windows“ verbreitet.
Diese Malware scheine das Exploit-Tool „EternalBlue“ zu nutzen. Dies sei zugleich die bei der weltweiten Ransomware-Attacke „WannaCry“ von Kriminellen ausgenutzte Schutzlücke. Seither hätten mehrere, auch weltbekannte Unternehmen, Regierungsstellen und Organisationen sowie Betreiber Kritischer Infrastrukturen den Ausfall von Systemen gemeldet.

Sofortmaßnahmen

Palo Alto Networks rät den Nutzern von „Windows“-Systemen daher unbedingt zu folgenden Schritten, um sich zu schützen:

• Installation der Security-Updates MS17-010.
• Eingehende Verbindungen über den TCP-Port 445 blockieren.
• Aktuelle Backups anlegen und diese vor dem Zugriff der Angreifer schützen.

Da die Situation noch nicht vollständige aufgeklärt sei, werde Palo Alto Networks weiter Updates zum Stand der Nachforschungen liefern.

„Master Boot Record“ (MBR) von „Windows“-Systemen wird modifiziert

„Petya“ ist demnach eine Ransomware-Familie, die den „Master Boot Record“ (MBR) von „Windows“-Systemen modifiziert und somit einen Systemcrash verursacht. Wenn die Nutzer dann die Systeme neustarten, sorgt der modifizierte MBR dafür, das „Windows“ nicht mehr bootet, sondern dass stattdessen auf dem Monitor das „Erpresserschreiben“ der Cyber-Kriminellen angezeigt wird, die ein Lösegeld für das gehackte System und dessen verschlüsselte Daten fordern.
In die Hände sei den Angreifern dieses Werkzeug durch die Veröffentlichungen der „Shadow Broker“-Gruppe im April 2017 gefallen, die bis dato geheime „Cyber-Waffen“ der US-Geheimdienste an die Öffentlichkeit gebracht habe.
Nachdem das System befallen ist, werden die Opfer aufgefordert, Bitcoins im Wert von 300 US-Dollar an eine spezifische Bitcoin-Adresse zu senden und dann die Bestätigung via einer bestimmten E-Mail zu schicken, worüber sie dann angeblich den Schlüssel für die Wiederherstellung des Systems bzw. die Entschlüsselung der Daten erhalten sollen. Bisher hätten schon mehrere Opfer den geforderten Betrag überwiesen.
Im Gegensatz zu vielen anderen Malware-Attacken scheine „Petya“ keinen „Command & Control“-Mechanismus zu enthalten – sobald ein Host infiziert ist, wird also keine Kommunikationen zu einem Server des Angreifers hergestellt.

„WannaCry“-Warnschuss nicht gehört

Auch wenn Ransomware-Angriffe mittlerweile recht häufig aufträten, so sei die vorliegende Form, in der Ransomware mit einem Exploit kombiniert die Malware in die Lage versetze, sich wie ein Wurm im Netzwerk zu verbreiten, sehr selten.
Die weltweit erfolgreiche „WannaCry“-Attacke habe gezeigt, dass es noch extrem viele nicht gepatchte Systeme gebe, diese Schwachstelle somit noch nicht geschlossen sei. Die rasanten Verbreitung von „Petya“ zeige nun, dass trotz des Warnschusses durch „WannaCry“ noch immer sehr viele Systeme über diese Schwachstelle erfolgreich angegriffen werden könnten.
„Die Nutzer unserer ,Next Generation Security‘-Plattform sind vor ,Petya‘ geschützt. Dafür halten unsere Systemen gleich mehrere Elemente vor, die sogar ,Windows‘-Systeme schützen, die nicht gepatcht werden können“, sagt Thorsten Henning, „Senior System Engineering Manager“ von Palo Alto Networks.
Ihr auf Prävention ausgelegter Ansatz setze auf automatisierten Schutz, indem man auf jeden Schritt im Lebenszyklus einer Attacke achte und sofort einschreite, „wenn das Verhalten eine Software oder eines Nutzers gefährlich ist“. Henning: „Sobald wir eine Bedrohung erkennen, teilt unser System Informationen über den Angriff mit den Sicherheitssystemen aller unserer Kunden, damit deren System auch binnen weniger Minuten über die Bedrohung informiert sind.“

[datensicherheit.de, 25.03.2016] Die G DATA SecurityLabs melden die Identifizierung eine Schaddatei, die einen neuen Typ von Ransomware darstellt: „Petya“ verschlüsselt die gesamte Festplatte, während andere aktuelle Arten von Verschlüsselungs-Trojanern wie „Locky“, „CryptoWall“ oder „TeslaCrypt“ lediglich einzelne Dateien unzugänglich machen.
Die aktuelle Kampagne ziele auf Unternehmen ab. In einer E-Mail an die Personalabteilung werde auf eine bei „Dropbox“ liegende Datei verwiesen. Empfänger, die dem Link folgen, gerieten in die Falle. Die Experten der G DATA SecurityLabs arbeiteten derzeit an der Analyse von „Petya“.

Weitere Informationen zum Thema:

G DATA Security Blog, 24.03.2016
Ransomware Petya verschlüsselt die Festplatte / G DATA hat einen neuen Typ von Ransomware entdeckt