Parallelen zu WannaCry-Malware

Weltweite Ransomware-Attacke

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

Eine potentielle Abwandlung der Petya-Ransomware verbreitet sich global. Sie nutzt die gleiche Schwachstelle wie WannaCry, die initiale Infektion scheint über HR-Abteilungen zu laufen.
Eine potentielle Abwandlung der Petya-Ransomware verbreitet sich global. Sie nutzt die gleiche Schwachstelle wie WannaCry, die initiale Infektion scheint über HR-Abteilungen zu laufen. (Bild: Forcepoint)

Server-Admins erleben gerade ein Deja-Vu: Wenige Wochen nach der WannaCry Ransomware wütet erneut eine Erpressersoftware weltweit. Sie nutzt die SMB-Lücke EternalBlue, die bereits vor wenigen Wochen zum Einsatz kam - und ist trotz eines vorhandenen Patches extrem erfolgreich. Der initiale Angriffsvektor scheinen möglicherweise manipulierte Dokumente zu sein, die an Personalabteilungen verschickt wurden.

Schon wieder eine Ransomware, schon wieder ein globaler Ausbruch, schon wieder scheint die Schwachstelle MS17-010 betroffen zu sein und schon wieder sieht es so aus, als wäre das NSA-Tool „EternalBlue“ zum Einsatz gekommen.

Knapp acht Wochen nach der WannaCry-Epidemie melden weltweit Unternehmen weitreichende Infektionen ihrer Systeme. Dabei ist zum Redaktionsschluss (27.06.2017 21:16) noch nicht klar, ob es sich um eine neue Malware oder eine Abwandlung der Petya-Erpressersoftware handelt.

WannaCry Ransomware infiziert tausende Systeme

Update: NSA Exploit sorgt für weltweite Attacke

WannaCry Ransomware infiziert tausende Systeme

15.05.17 - Die Ransomware WannaCrypt0r hat weltweit tausende Systeme infiziert. Geholfen hat ein NSA-Exploit sowie eine längst gepatchte Schwachstelle in Windows SMB. Neben privaten Systemen waren Unternehmen, Krankenhäuser und die Deutsche Bahn durch den Trojaner betroffen. Neueste Informationen deuten auf weitere Varianten der Malware hin. lesen

Ausgehend von der Ukraine hat diese neue Malware-Welle zahlreiche Unternehmen infiziert. Laut der dänischen Maersk-Gruppe sind „Maersk IT-Systeme an verschiedenen Orten und Geschäftseinheiten“ angegriffen. Auch die Ruine des Atomreaktoren Chernobyl ist von der Malware betroffen. Laut einem Sprecher musste das System zur Strahlungsmessung offline genommen werden. Die Mitarbeiter würden Handmessungen durchführen, so ein Sprecher, die restlichen technischen Systeme würden aber weiterarbeiten.

Die Sicherheitsfirma F-Secure hat uns Daten von Honeypots der letzten 12 Stunden zur Verfügung gestellt. Demnach ist in Russland, den USA, Hong Kong, Indien und der Ukraine ein deutlich erhöhter SMB-Traffic festzustellen. Das kann laut den Experten darauf hinweisen, dass diese Länder besonders betroffen sind bzw. infizierte Server von dort das weltweite Netz nach verwundbaren Systemen absuchen.

In den letzten Stunden konnten die Honeypots von F-Secure verstärkten Traffic aus diesen Ländern verzeichnen.
In den letzten Stunden konnten die Honeypots von F-Secure verstärkten Traffic aus diesen Ländern verzeichnen. (Bild: F-Secure)

Die Daten werden vom Hersteller Kaspersky bestätigt: „Die telemetrischen Daten von Kaspersky Lab deuten derzeit auf etwa 2.000 attackierte Nutzer hin. Organisationen aus Russland und der Ukraine sind am häufigsten betroffen. Wir haben zudem auch Treffer unter anderem in Deutschland, Frankreich, Großbritannien, Italien, Polen und den USA registriert,“ so das Unternehmen. Allerdings geht man dort nicht davon aus, dass es sich um die Petya Malware handelt sondern sieht es als eine neue Malware.

Posteo deaktiviert Kontaktadresse

Scheinbar hatten die Kriminellen einen Account beim deutschen Anbieter Posteo hinterlegt. Das Unternehmen hat diesen deaktiviert. „Unser Abuse-Team hat dies sofort geprüft – und das Postfach umgehend gesperrt. Wir dulden keinen Missbrauch unserer Plattform: Das umgehende Sperren missbräuchlich genutzter Postfächer ist ein übliches Vorgehen von Providern in solchen Fällen. Zum Zeitpunkt der Sperrung lag noch keine Berichterstattung zu der Ransomware vor“, so der Mail-Anbieter in einer Stellungnahme.

Dabei hatten die ersten Opfer scheinbar bereits das Lösegeld von 300 US-Dollar in Bitcoin überwiesen. Die in der Erpressersoftware hinterlegte Bitcoin-Adresse verzeichnet zum Redaktionsschluss 3,15 Bitcoins (etwa 7075 Euro), Tendenz stark steigend.

Patch seit März vorhanden

Sollte die Ransomware wirklich einen ähnlichen Angriffsvektor wie WannaCry nutzen, so ist eine derart weite Verbreitung eigentlich mit nichts zu erklären. Der Patch ist seit Anfang März verfügbar, im Rahmen von WannaCry wurden sogar Patches für Windows XP und Vista nachgeliefert. Firmen, die das Update noch immer nicht eingespielt hatten, sollten sich schleunigst ein neues Konzept für das Patch-Management überlegen.

BSI-Präsident Arne Schönbohm sieht dies ähnlich: „Das Patchen dieser Schwachstelle mit dem seit Monaten verfügbaren Microsoft-Patch hätte in vielen Fällen eine Infektion verhindert. In internen Netzen benutzt Petya zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung und kann damit auch Systeme befallen, die auf aktuellem Patchstand sind. Angesichts der akuten Bedrohungslage rufen wir die Wirtschaft erneut dazu auf, die Risiken der Digitalisierung ernst zu nehmen und notwendige Investitionen in die IT-Sicherheit nicht aufzuschieben."

Berichten von Experten von Hacker House zufolge könnte die ursprüngliche Attacke auf eine andere Schwachstelle über infizierte Dokumente erfolgt sein. Der Experte Sean Sullivan schätzt vorsichtig, dass möglicherweise Personalabteilungen bösartige Lebensläufe zugeschickt wurden. Im Anschluss hätte die Ransomware sich dann über das interne Netzwerk verbreiten können.

Der Anbieter ESET denkt in eine ähnliche Rechnung: „Zur Verbreitung scheint sie eine Kombination aus einem SMB Exploit (EternalBlue), wie er auch bei WannaCry zum Einsatz kam, zu verwenden. So verschafft sie sich Zugriff auf das Netzwerk, wo sie sich durch PsExec weiterverbreitet. Diese gefährliche Kombination ist wahrscheinlich der Grund für die schnelle und globale Ausbreitung.“

Möglicher "Killswitch" gefunden

Inzwischen wurde ein Killswitch gefunden, der die Ransomware scheinbar stoppt. Laut dem Sicherheitsforscher Amit Serper reicht es, im Verzeichnis "C:\Windows" eine Datei namens perfc ohne Endung zu erstellen. Findet die Malware diese Datei, wird sie nicht aktiv.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44757858 / Malware)