zurück zur Übersicht

Neue Ransomware-Welle: Petya & EternalBlue

Neue Ransomware-Welle: Petya soll den Nutzern das Geld aus der Tasche ziehen – wieder mal.Guten Morgen Europa!

Haben Sie schlecht geschlafen? Nicht so schlecht wie mancher Admin: Unsere Cyber Defence Centers (CDC) melden derzeit eine Attacke, die wie eine Welle über Europa hinwegrollt und sich rapide verbreitet. Es handelt sich um eine neue Variante der bereits beobachteten Ransomware „Petya“ (auch „PetWrap„). Die Angriffsvektoren, über den der Schädling die Systeme befällt, sind zwei Vulnerabilities: zum einen der schon von WannaCry her bekannte EternalBlue-Exploit (es war abzusehen, dass es jemand erneut auf diesem Weg versuchen würde) und zum anderen über die Nutzung von PsExec (gedroppt als dllhost.dat).

Typisches Verhalten, das bei einem Befall zu beobachten ist:

  • das Windws Event Log wird mittels Wevtutil gelöscht
  • MFT (Master FIle Table) und MBR (Master Boot Record) werden verschlüsselt, wodurch auf die Dateien des betroffenen Systems nicht mehr zugegriffen werden kann
  • Ein Reboot wird erzwungen
  • Der MBR wird durch eine neue Version ersetzt, die die Nachricht der Erpresser enthält und ein weiteres Booten des Rechners verhindert

Lebensrettende Sofortmaßnahmen

  • Die Malware nutzt eine bekannte Schwachstelle, es gibt also einen Patch (MS17-010 patch). Dieser sollte umgehend installiert werden, falls noch nicht geschehen
  • in segmentierten Netzwerken sollte TCP port 445 vorerst geblockt werden (vorsichtshalber)
  • Cylance stoppt die Ransomware (sowohl die online als auch die offline-Version, bestätigt und getestet!)
  • Palo Alto Networks Wildfire hat den aktuellen Hash zur Identifizierung der Malware
  • Wer Palo Alto Networks Traps im Einsatz hat, sollte temporär als Vorsichtsmaßnahme Child Prozesse von rundll32 blockieren
  • Ist der Befall bereits erfolgt ist das System sofort vom Netzwerk zu trennen, und mit installiertem Patch neu aufzusetzen
  • Laut den Security-Analysten von JOESecurity.org soll es wieder einen „Killswitch“ für die Ransomware geben, hierzu reicht es offenbar aus die Datei perfc.dat im Ordner C:\Windows zu erstellen. Diese Methode wird derzeit auf Zuverlässiglkeit getestet.

Cyber Defenders im Einsatz

Am Dienstagvormittag gab es in den Medien vereinzelte Berichte zu groß angelegten Cyber Angriffen. Unter anderem fielen mehrere zentrale IT-Systeme der dänischen Reederei Maersk aus. Des Weiteren wurden fast zeitgleich die Server von Unternehmen, staatlichen Einrichtungen und kritische Infrastrukturen in der Ukraine sowie Russland Opfer einer erneuten Ransomware-Attacke. Anfangs war hier durch die vereinzelte Berichterstattung kein eindeutiger Zusammenhang erkennbar. Gegen Dienstagmittag änderte sich dies schlagartig. Es wurden immer weitere Vorfälle in Spanien, Frankreich, Großbritannien sowie Deutschland bekannt die auf einen großangelegten Angriff schließen lassen.

Die Cyber Security Analysten des iT-CUBE SYSTEMS Advanced Cyber Defence Centers (A.C.D.C.) befinden sich bereits im Dauereinsatz zur Eindämmung und forensischen Analyse des aktuellen Ransomware Ausbruchs vor Ort bei betroffenen Unternehmen. Ob sich diese Petya-Welle zu einem ähnlichen Flächenbrand wie WannaCry ausweitet ist derzeit noch nicht abzuschätzen.

Update:

  • Nicht zahlen! Die Erpresser zu bezahlen lohnt sich nicht, da die E-Mail der Hacker offenbar geblockt wird / ins Leere läuft!
  • Es wird vermutet, dass der initiale Angriffsvektor die Buchhaltungssoftware MeDoc sein könnte, aber der Nachweis steht noch aus.

 


Mehr von den Kollegen in Belgien:

Recommendation and information on Petya ransomware

 

 

Bild: ©iT-CUBE SYSTEMS AG 2017

Schreibe einen Kommentar