Categories: SicherheitVirus

Petya: Ransomware verbreitet sich über reguläres Software-Update

Microsoft hat die Malware analysiert, die Unternehmen weltweit bedroht. Es handelt sich um eine neue Variante der Ransomware Petya, die vor über einem Jahr in Umlauf kam und vor allem auf Personalabteilungen abzielte. Die neue Ransomware ist jedoch wesentlich raffinierter und kann sich wie ein Wurm in Netzwerken verbreiten. Ihre Verschlüsselungsmethoden hängen von den Berechtigungen ab, die sie erlangen kann. Sie versucht auch, den Master Boot Record (MBR) zu überschreiben und dann einen Neustart auszulösen.

Inzwischen waren Infektionen in über 60 Ländern zu beobachten. Die ersten Infektionen aber traten in der Ukraine auf, wo mehr als 12.500 Rechner dem Cyberangriff ausgesetzt waren. Laut Microsoft weisen Telemetriedaten nun darauf hin, dass sich die Ransomware dort über Updates für das Programm MEDoc verbreitete. Diese Software für Steuerbuchhaltung kommt bei Unternehmen zum Einsatz, die mit der ukrainischen Regierung zusammenarbeiten.

Auch die ukrainische Cyber-Polizei wies auf diesen Zusammenhang hin. Der britische Sicherheitsforscher Marcus Hutchins, der wesentlich zur Entschärfung der Ransomware WannaCry beitrug, sieht den ukrainischen Softwarehersteller selbst als Opfer eines Hackerangriffs, der die Malware dann unwissentlich über seine regulären Updates verbreitet hat.

Loading ...

Die neue Petya-Variante kann sich auch durch den Exploit EternalBlue, der auch von der NSA zu Spionagezwecke genutzt wurde, über eine bekannte SMB-Lücke in Windows verbreiten, wie das Microsoft Malware Protection Center (MMPC) in einem Blogeintrag ausführt. EternalBlue verhalf zuvor schon der Ransomware WannaCry zu rasend schneller Verbreitung auf weltweit über 200.000 Windows-PCs. Darüber hinaus nutzt die neue Ransomware als weiteren Exploit EternalRomance.

Microsoft: Die neue Petya-Ransomware gelangt über ein reguläres Programm-Update auf die Rechner der Opfer (Bild: Microsoft).

Schutz vor der neuen Petya-Variante

Bei beiden Exploits handelt es sich um von der Hackergruppe Shadow Brokers öffentlich gemachte Exploits des US-Auslandsgeheimdienstes NSA. Diese beiden Exploits erlauben die laterale Verbreitung der neuen Ransomware in einem Netzwerk. Microsoft weist darauf hin, dass die zugrundeliegenden Schwachstellen am 14. März durch das Sicherheitsupdate MS17-010 behoben wurden. Als Schutzmaßnahme empfiehlt es Organisationen dringend, diesen Patch anzuwenden oder aber SMBv1 zu deaktivieren, sofern das nicht zeitnah möglich ist.

Das MMPC empfiehlt Unternehmen außerdem Windows Defender Advanced Threat Protection (Windows Defender ATP) als Lösung für eine frühe Erkennung sowie Maßnahmen nach einer Kompromittierung. Organisationen könnten zudem Device Guard einsetzen, um nur als vertrauenswürdig eingestufte Anwendungen zu erlauben und Malware effektiv auszuschließen.

Anzeichen für Kompromittierung

Microsofts Sicherheitsexperten nennen außerdem eine Reihe von Indikatoren, die auf eine Kompromittierung hinweisen. Neben Datei-Indikatoren führen sie auch Befehlszeilen auf für Umgebungen mit Protokollierung, in denen die Suche nach Befehlszeilen möglich ist. In Netzwerken sind außerdem bestimmte Subnet-Scans zu beobachten, die den TCP-Port 139 und den TCP-Port 445 betreffen.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago