Categories: SicherheitVirus

Petya: Ransomware verbreitet sich über reguläres Software-Update

Microsoft hat die Malware analysiert, die Unternehmen weltweit bedroht. Es handelt sich um eine neue Variante der Ransomware Petya, die vor über einem Jahr in Umlauf kam und vor allem auf Personalabteilungen abzielte. Die neue Ransomware ist jedoch wesentlich raffinierter und kann sich wie ein Wurm in Netzwerken verbreiten. Ihre Verschlüsselungsmethoden hängen von den Berechtigungen ab, die sie erlangen kann. Sie versucht auch, den Master Boot Record (MBR) zu überschreiben und dann einen Neustart auszulösen.

Inzwischen waren Infektionen in über 60 Ländern zu beobachten. Die ersten Infektionen aber traten in der Ukraine auf, wo mehr als 12.500 Rechner dem Cyberangriff ausgesetzt waren. Laut Microsoft weisen Telemetriedaten nun darauf hin, dass sich die Ransomware dort über Updates für das Programm MEDoc verbreitete. Diese Software für Steuerbuchhaltung kommt bei Unternehmen zum Einsatz, die mit der ukrainischen Regierung zusammenarbeiten.

Auch die ukrainische Cyber-Polizei wies auf diesen Zusammenhang hin. Der britische Sicherheitsforscher Marcus Hutchins, der wesentlich zur Entschärfung der Ransomware WannaCry beitrug, sieht den ukrainischen Softwarehersteller selbst als Opfer eines Hackerangriffs, der die Malware dann unwissentlich über seine regulären Updates verbreitet hat.

Loading ...

Die neue Petya-Variante kann sich auch durch den Exploit EternalBlue, der auch von der NSA zu Spionagezwecke genutzt wurde, über eine bekannte SMB-Lücke in Windows verbreiten, wie das Microsoft Malware Protection Center (MMPC) in einem Blogeintrag ausführt. EternalBlue verhalf zuvor schon der Ransomware WannaCry zu rasend schneller Verbreitung auf weltweit über 200.000 Windows-PCs. Darüber hinaus nutzt die neue Ransomware als weiteren Exploit EternalRomance.

Microsoft: Die neue Petya-Ransomware gelangt über ein reguläres Programm-Update auf die Rechner der Opfer (Bild: Microsoft).

Schutz vor der neuen Petya-Variante

Bei beiden Exploits handelt es sich um von der Hackergruppe Shadow Brokers öffentlich gemachte Exploits des US-Auslandsgeheimdienstes NSA. Diese beiden Exploits erlauben die laterale Verbreitung der neuen Ransomware in einem Netzwerk. Microsoft weist darauf hin, dass die zugrundeliegenden Schwachstellen am 14. März durch das Sicherheitsupdate MS17-010 behoben wurden. Als Schutzmaßnahme empfiehlt es Organisationen dringend, diesen Patch anzuwenden oder aber SMBv1 zu deaktivieren, sofern das nicht zeitnah möglich ist.

Das MMPC empfiehlt Unternehmen außerdem Windows Defender Advanced Threat Protection (Windows Defender ATP) als Lösung für eine frühe Erkennung sowie Maßnahmen nach einer Kompromittierung. Organisationen könnten zudem Device Guard einsetzen, um nur als vertrauenswürdig eingestufte Anwendungen zu erlauben und Malware effektiv auszuschließen.

Anzeichen für Kompromittierung

Microsofts Sicherheitsexperten nennen außerdem eine Reihe von Indikatoren, die auf eine Kompromittierung hinweisen. Neben Datei-Indikatoren führen sie auch Befehlszeilen auf für Umgebungen mit Protokollierung, in denen die Suche nach Befehlszeilen möglich ist. In Netzwerken sind außerdem bestimmte Subnet-Scans zu beobachten, die den TCP-Port 139 und den TCP-Port 445 betreffen.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Bernd Kling

Recent Posts

Verteiltes SQL: Hochverfügbarkeit für Unternehmen

Verteiltes SQL ist die erste Wahl, wenn Unternehmen hochverfügbare, elastische und leicht skalierbare Datenbanken mit…

5 Minuten ago

Allianz für weiteres Wachstum: TIMETOACT GROUP erwirbt Transformationsexperten PKS

Führender Anbieter von IT-Dienstleistungen für Mittelständler, Konzerne und öffentliche Einrichtungen im DACH-Raum erwirbt Software-Transformationsexperten.

3 Stunden ago

CrowdStrike: Verbreitung von Linux-Malware nimmt zu

Das Plus liegt im Vergleich zu 2020 bei rund 35 Prozent. Am häufigsten kommen die…

19 Stunden ago

Auch moderne Smartphones von Sicherheitslücken in 2G-Netzwerken betroffen

Google bietet nun in Android 12 grundsätzlich die Option, 2G-Netze nicht zu nutzen. Die EFF…

20 Stunden ago

Microsoft: Gegen Ukraine eingesetzte Malware ist keine Ransomware

Sie ersetzt den Master Boot Record durch eine Lösegeldforderung. Die Malware besitzt jedoch keine Funktion,…

2 Tagen ago

ASM hilft Risiken priorisieren

Die Marktforscher von Forrester erklären das Thema Attack Surface Management (ASM) zum neuen Trend aus.…

2 Tagen ago