Ransomware Petya: Internationale Verbreitung über Windows-SMB-Protokoll

Warnung von Palo Alto Networks vor allem an Nutzer ungepatchter Systeme

[datensicherheit.de, 28.06.2017] Nur wenige Wochen nach einer weltweiten Attacke mit Erpressersoftware wurde am 27. Juni 2017 nach Medienberichten eine weitere massive Malware-Attacke gestartet: Betroffen sollen Unternehmen in den USA und der Ukraine, aber auch in Frankreich, Russland und nach Angaben des BSI ebenso in Deutschland sein. Palo Alto Networks hat die ersten Erkenntnisse in einer Stellungnahme über den aktuellen Ransomware-Angriff zusammengefasst.

Ausnutzung des Exploit-Tools „EternalBlue“

Im Laufe des 27. Juni 2017 seien erste Angriffe mit einer neuen Variante der bekannten „Petya“-Malware gemeldet worden, die sich offenbar über das SMB-Protokoll von „Microsoft Windows“ verbreitet.
Diese Malware scheine das Exploit-Tool „EternalBlue“ zu nutzen. Dies sei zugleich die bei der weltweiten Ransomware-Attacke „WannaCry“ von Kriminellen ausgenutzte Schutzlücke. Seither hätten mehrere, auch weltbekannte Unternehmen, Regierungsstellen und Organisationen sowie Betreiber Kritischer Infrastrukturen den Ausfall von Systemen gemeldet.

Sofortmaßnahmen

Palo Alto Networks rät den Nutzern von „Windows“-Systemen daher unbedingt zu folgenden Schritten, um sich zu schützen:

• Installation der Security-Updates MS17-010.
• Eingehende Verbindungen über den TCP-Port 445 blockieren.
• Aktuelle Backups anlegen und diese vor dem Zugriff der Angreifer schützen.

Da die Situation noch nicht vollständige aufgeklärt sei, werde Palo Alto Networks weiter Updates zum Stand der Nachforschungen liefern.

„Master Boot Record“ (MBR) von „Windows“-Systemen wird modifiziert

„Petya“ ist demnach eine Ransomware-Familie, die den „Master Boot Record“ (MBR) von „Windows“-Systemen modifiziert und somit einen Systemcrash verursacht. Wenn die Nutzer dann die Systeme neustarten, sorgt der modifizierte MBR dafür, das „Windows“ nicht mehr bootet, sondern dass stattdessen auf dem Monitor das „Erpresserschreiben“ der Cyber-Kriminellen angezeigt wird, die ein Lösegeld für das gehackte System und dessen verschlüsselte Daten fordern.
In die Hände sei den Angreifern dieses Werkzeug durch die Veröffentlichungen der „Shadow Broker“-Gruppe im April 2017 gefallen, die bis dato geheime „Cyber-Waffen“ der US-Geheimdienste an die Öffentlichkeit gebracht habe.
Nachdem das System befallen ist, werden die Opfer aufgefordert, Bitcoins im Wert von 300 US-Dollar an eine spezifische Bitcoin-Adresse zu senden und dann die Bestätigung via einer bestimmten E-Mail zu schicken, worüber sie dann angeblich den Schlüssel für die Wiederherstellung des Systems bzw. die Entschlüsselung der Daten erhalten sollen. Bisher hätten schon mehrere Opfer den geforderten Betrag überwiesen.
Im Gegensatz zu vielen anderen Malware-Attacken scheine „Petya“ keinen „Command & Control“-Mechanismus zu enthalten – sobald ein Host infiziert ist, wird also keine Kommunikationen zu einem Server des Angreifers hergestellt.

„WannaCry“-Warnschuss nicht gehört

Auch wenn Ransomware-Angriffe mittlerweile recht häufig aufträten, so sei die vorliegende Form, in der Ransomware mit einem Exploit kombiniert die Malware in die Lage versetze, sich wie ein Wurm im Netzwerk zu verbreiten, sehr selten.
Die weltweit erfolgreiche „WannaCry“-Attacke habe gezeigt, dass es noch extrem viele nicht gepatchte Systeme gebe, diese Schwachstelle somit noch nicht geschlossen sei. Die rasanten Verbreitung von „Petya“ zeige nun, dass trotz des Warnschusses durch „WannaCry“ noch immer sehr viele Systeme über diese Schwachstelle erfolgreich angegriffen werden könnten.
„Die Nutzer unserer ,Next Generation Security‘-Plattform sind vor ,Petya‘ geschützt. Dafür halten unsere Systemen gleich mehrere Elemente vor, die sogar ,Windows‘-Systeme schützen, die nicht gepatcht werden können“, sagt Thorsten Henning, „Senior System Engineering Manager“ von Palo Alto Networks.
Ihr auf Prävention ausgelegter Ansatz setze auf automatisierten Schutz, indem man auf jeden Schritt im Lebenszyklus einer Attacke achte und sofort einschreite, „wenn das Verhalten eine Software oder eines Nutzers gefährlich ist“. Henning: „Sobald wir eine Bedrohung erkennen, teilt unser System Informationen über den Angriff mit den Sicherheitssystemen aller unserer Kunden, damit deren System auch binnen weniger Minuten über die Bedrohung informiert sind.“