Verbreitungsweg aufgedeckt Neue Ransomware-Attacke

Der Bildschirm nachdem Petya zugeschlagen hat.
Der Bildschirm nachdem Petya zugeschlagen hat.

SophosLabs hat die in der neuesten Cyberattacke verwendeten Technologien untersucht und festgestellt, dass höchstwahrscheinlich eine neue Variante der Ransomware Petya, auch bekannt als GoldenEye oder PetrWrap, hinter dem massiven Ausbruch in Europa steckt.

Allerdings unterscheidet sich der aktuelle Angriff durch eine gefährliche Ergänzung: Die neue Variante enthält zusätzlich den Exploit EternalBlue, um sich noch schneller in einem infiltrierten Netzwerk auszubreiten. Der Exploit greift gezielt den Windows Server Message Block Service (SMB) an, der dazu dient, Dateien oder Drucker ohne große Umstände innerhalb lokaler Netzwerke zu nutzen. Dieses Problem wurde zwar von  Microsoft mit Bulletin MS17-010 im März angegangen, ist aber aufgrund fehlender Updates in vielen Systemen noch immer präsent, und der Exploit wurde bereits von WannaCry im letzten Monat genutzt.

Die neue Attacke auf Basis von Petya scheint außerdem zu versuchen, sich innerhalb eines Netzwerks weiter zu verbreiten, in dem es Admin-Passwörter knackt und andere Netzwerk-PCS durch die Nutzung von Remote Admin Tools infiziert. Last but not least dehnt sich die Ransomware durch die Infektion von Netzlaufwerken auf anderen Computern aus. Das geschieht durch die Ausführung eines Codes, der Zugangsdaten stiehlt und die Passwörter von Nutzer-Konten knackt, um Ransomware zu implementieren. Die Malware ist sogar in der Lage Remote-Geräte zu infizieren, indem sie ein legitimes Remote Admin Tool namens PsExec von der Microsoft SysInternals Suite nutzt.

Was Unternehmen jetzt tun sollten:

  • Sicherstellen dass alle Systeme auf dem aktuellen Stand sind – inklusive Microsoft Bulletin MS17-010.
  • Eventuell ist es sinnvoll, das Microsoft-Tool PsExec auf Standard-PCs mit einer Endpoint-Protection-Lösung zu blockieren und so einen Verbreitungsweg einzudämmen.
  • Regelmäßig Back-ups erstellen und speichern der letzten Kopie außerhalb des Netzwerks. Eine Verschlüsselung sorgt außerdem dafür, dass niemand Angst haben muß, falls die Datei einmal in die falschen Hände gerät.
  • Schulung der Mitarbeiter dahingehend, dass sie Emails mit Anhängen immer mit einer gewissen Vorsicht handhaben, vor allem wenn die Absender nicht bekannt sind.
  • Den Einsatz von Anti-Ransomware-Technologie erwägen, zum Beispiel Intercept X.