Petya: Ransomware verbreitet sich über reguläres Software-Update

Die neue Petya-Variante ist wesentlich raffinierter und kann sich wie ein Wurm in Netzwerken verbreiten. Ihre Verschlüsselungsmethoden hängen von den erlangten Berechtigungen ab. In Umlauf kam sie über Updates für eine ukrainische Steuerbuchhaltung - deren Hersteller vermutlich gehackt wurde.

Microsoft hat die Malware analysiert, die Unternehmen weltweit bedroht. Es handelt sich um eine neue Variante der Ransomware Petya, die vor über einem Jahr in Umlauf kam und vor allem auf Personalabteilungen abzielte. Die neue Ransomware ist jedoch wesentlich raffinierter und kann sich wie ein Wurm in Netzwerken verbreiten. Ihre Verschlüsselungsmethoden hängen von den Berechtigungen ab, die sie erlangen kann. Sie versucht auch, den Master Boot Record (MBR) zu überschreiben und dann einen Neustart auszulösen.

Malware (Bild: Shutterstock)

Inzwischen waren Infektionen in über 60 Ländern zu beobachten. Die ersten Infektionen aber traten in der Ukraine auf, wo mehr als 12.500 Rechner dem Cyberangriff ausgesetzt waren. Laut Microsoft weisen Telemetriedaten nun darauf hin, dass sich die Ransomware dort über Updates für das Programm MEDoc verbreitete. Diese Software für Steuerbuchhaltung kommt bei Unternehmen zum Einsatz, die mit der ukrainischen Regierung zusammenarbeiten.

Auch die ukrainische Cyber-Polizei wies auf diesen Zusammenhang hin. Der britische Sicherheitsforscher Marcus Hutchins, der wesentlich zur Entschärfung der Ransomware WannaCry beitrug, sieht den ukrainischen Softwarehersteller selbst als Opfer eines Hackerangriffs, der die Malware dann unwissentlich über seine regulären Updates verbreitet hat.

Die neue Petya-Variante kann sich auch durch den Exploit EternalBlue, der auch von der NSA zu Spionagezwecke genutzt wurde, über eine bekannte SMB-Lücke in Windows verbreiten, wie das Microsoft Malware Protection Center (MMPC) in einem Blogeintrag ausführt. EternalBlue verhalf zuvor schon der Ransomware WannaCry zu rasend schneller Verbreitung auf weltweit über 200.000 Windows-PCs. Darüber hinaus nutzt die neue Ransomware als weiteren Exploit EternalRomance.

Microsoft: Ransomware gelangt über reguöäres Programm-Update auf die Rechner der Opfer (Bild: Microsoft).Microsoft: Die neue Petya-Ransomware gelangt über ein reguläres Programm-Update auf die Rechner der Opfer (Bild: Microsoft).

Schutz vor der neuen Petya-Variante

Bei beiden Exploits handelt es sich um von der Hackergruppe Shadow Brokers öffentlich gemachte Exploits des US-Auslandsgeheimdienstes NSA. Diese beiden Exploits erlauben die laterale Verbreitung der neuen Ransomware in einem Netzwerk. Microsoft weist darauf hin, dass die zugrundeliegenden Schwachstellen am 14. März durch das Sicherheitsupdate MS17-010 behoben wurden. Als Schutzmaßnahme empfiehlt es Organisationen dringend, diesen Patch anzuwenden oder aber SMBv1 zu deaktivieren, sofern das nicht zeitnah möglich ist.

Das MMPC empfiehlt Unternehmen außerdem Windows Defender Advanced Threat Protection (Windows Defender ATP) als Lösung für eine frühe Erkennung sowie Maßnahmen nach einer Kompromittierung. Organisationen könnten zudem Device Guard einsetzen, um nur als vertrauenswürdig eingestufte Anwendungen zu erlauben und Malware effektiv auszuschließen.

Anzeichen für Kompromittierung

Microsofts Sicherheitsexperten nennen außerdem eine Reihe von Indikatoren, die auf eine Kompromittierung hinweisen. Neben Datei-Indikatoren führen sie auch Befehlszeilen auf für Umgebungen mit Protokollierung, in denen die Suche nach Befehlszeilen möglich ist. In Netzwerken sind außerdem bestimmte Subnet-Scans zu beobachten, die den TCP-Port 139 und den TCP-Port 445 betreffen.

ANZEIGE

Server-Hosting: Sicherheit und Datenschutz Made in Germany

Sicherheit und Datenschutz sind zwei wesentliche Kriterien bei der Auswahl eines virtuellen Servers. Mit zwei nach ISO 27001 zertifizierten Hochleistungsrechenzentren in Deutschland bietet STRATO nicht nur strenge Sicherheitsmaßnahmen, sondern auch Datenschutz nach deutschem Recht. Zudem beinhalten die V-Server zahlreiche Komfortfeatures.

Themenseiten: Cybercrime, Malware, Microsoft, Ransomware, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Petya: Ransomware verbreitet sich über reguläres Software-Update

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *