Microsoft hat die Malware analysiert, die Unternehmen weltweit bedroht. Es handelt sich um eine neue Variante der Ransomware Petya, die vor über einem Jahr in Umlauf kam und vor allem auf Personalabteilungen abzielte. Die neue Ransomware ist jedoch wesentlich raffinierter und kann sich wie ein Wurm in Netzwerken verbreiten. Ihre Verschlüsselungsmethoden hängen von den Berechtigungen ab, die sie erlangen kann. Sie versucht auch, den Master Boot Record (MBR) zu überschreiben und dann einen Neustart auszulösen.
Inzwischen waren Infektionen in über 60 Ländern zu beobachten. Die ersten Infektionen aber traten in der Ukraine auf, wo mehr als 12.500 Rechner dem Cyberangriff ausgesetzt waren. Laut Microsoft weisen Telemetriedaten nun darauf hin, dass sich die Ransomware dort über Updates für das Programm MEDoc verbreitete. Diese Software für Steuerbuchhaltung kommt bei Unternehmen zum Einsatz, die mit der ukrainischen Regierung zusammenarbeiten.
Auch die ukrainische Cyber-Polizei wies auf diesen Zusammenhang hin. Der britische Sicherheitsforscher Marcus Hutchins, der wesentlich zur Entschärfung der Ransomware WannaCry beitrug, sieht den ukrainischen Softwarehersteller selbst als Opfer eines Hackerangriffs, der die Malware dann unwissentlich über seine regulären Updates verbreitet hat.
Die neue Petya-Variante kann sich auch durch den Exploit EternalBlue, der auch von der NSA zu Spionagezwecke genutzt wurde, über eine bekannte SMB-Lücke in Windows verbreiten, wie das Microsoft Malware Protection Center (MMPC) in einem Blogeintrag ausführt. EternalBlue verhalf zuvor schon der Ransomware WannaCry zu rasend schneller Verbreitung auf weltweit über 200.000 Windows-PCs. Darüber hinaus nutzt die neue Ransomware als weiteren Exploit EternalRomance.
Schutz vor der neuen Petya-Variante
Bei beiden Exploits handelt es sich um von der Hackergruppe Shadow Brokers öffentlich gemachte Exploits des US-Auslandsgeheimdienstes NSA. Diese beiden Exploits erlauben die laterale Verbreitung der neuen Ransomware in einem Netzwerk. Microsoft weist darauf hin, dass die zugrundeliegenden Schwachstellen am 14. März durch das Sicherheitsupdate MS17-010 behoben wurden. Als Schutzmaßnahme empfiehlt es Organisationen dringend, diesen Patch anzuwenden oder aber SMBv1 zu deaktivieren, sofern das nicht zeitnah möglich ist.
Das MMPC empfiehlt Unternehmen außerdem Windows Defender Advanced Threat Protection (Windows Defender ATP) als Lösung für eine frühe Erkennung sowie Maßnahmen nach einer Kompromittierung. Organisationen könnten zudem Device Guard einsetzen, um nur als vertrauenswürdig eingestufte Anwendungen zu erlauben und Malware effektiv auszuschließen.
Anzeichen für Kompromittierung
Microsofts Sicherheitsexperten nennen außerdem eine Reihe von Indikatoren, die auf eine Kompromittierung hinweisen. Neben Datei-Indikatoren führen sie auch Befehlszeilen auf für Umgebungen mit Protokollierung, in denen die Suche nach Befehlszeilen möglich ist. In Netzwerken sind außerdem bestimmte Subnet-Scans zu beobachten, die den TCP-Port 139 und den TCP-Port 445 betreffen.
So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Neueste Kommentare
Noch keine Kommentare zu Petya: Ransomware verbreitet sich über reguläres Software-Update
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.