Threats & Co

Petya-Ransomware verbreitet sich international über Windows SMB-Protokoll

Petya-Ransomware verbreitet sich international über Windows SMB-Protokoll

Palo Alto Networks warnt vor allem Nutzer ungepatchter Systeme + Nur wenige Wochen nach der weltweiten Attacke mit der Erpressersoftware wurde am 27. Juni eine weiter massive Malware-Attacke gestartet. Betroffen sind Unternehmen in den USA und der Ukraine, aber auch in Frankreich, Russland und nach Angaben des BSI ebenso in Deutschland. Das IT-Sicherheitsunternehmen Palo Alto Networks fasst die ersten Erkenntnisse über den aktuellen Ransomware-Angriff kompakt zusammen.

Im Laufe des 27. Juni wurden erste Angriffe mit einer neuen Variante der bekannten Petya-Malware gemeldet, die sich über das SMB-Protokoll von Microsoft Windows verbreitet. Die Malware scheint den Exploit-Tool EternalBlue zu nutzen. Dies ist zugleich der Exploit, der bei der weltweiten Ransomware-Attacke „WannaCry“ von Kriminellen genutzt wurde. Seither haben mehrere, auch weltbekannte Unternehmen, Regierungsstellen und Organisationen sowie Betreiber kritischer Infrastrukturen den Ausfall von Systemen gemeldet. 

 

Palo Alto Networks rät den Nutzern von Windows-Systemen daher unbedingt zu folgenden Schritten, um sich zu schützen:

 

• Installation der Security Updates MS17-010

 

• Eingehende Verbidnungen über den TCP-Port 445 blockieren

 

• Aktuelle Backups anlegen und diese vor dem Zugriff der Angreifer schützen

 

Da die Situation noch nicht vollständige aufgeklärt st, kündigt Palo Alto Networks weiter Updates zum Stand der Nachforschungen an. 

 

Was bekannt ist

Petya ist eine Ransomware-Familie, die den Master Boot Record (MBR) von Windows Systeme modifiziert und somit einen Systemcrash verursacht. Wenn die Nutzer dann die Systeme neustarten, sorgt der modifizierte MBR dafür, das Windows nicht mehr bootet, sondern dass stattdessen auf dem Monitor das „Erpresserschreiben“ der Cyberkriminellen angezeigt wird, die ein Lösegeld für das gehackte System und dessen verschlüsselte Daten fordern.

 

In die Hände fiel den Angreifern diese Werkzeug durch die Veröffentlichungen der Shadow Broker-Gruppe im April 2017, die bis dato geheime „Cyberwaffen“ der US-Geheimdienste an die Öffentlichkeit brachte.

 

Nachdem das System befallen wurde, warden die Opfer aufgefordert Bitcoins im Wert von 300 Dollar an eine spezifische Bitcoin-Adresse zu senden und dann die Bestätigung via eMail an wowsmith123456@posteo[.]net zu schicken, wo sie dann angeblich den Schlüssel für die Wiederherstellung des Systems bzw. die Entschlüsselung der Daten erhalten Bisher haben schon mehrere Opfer den geforderten Betrag überwiesen.

 

Im Gegensatz zu vielen anderen Malware-Attacken scheint Petya keinen Command & Control-Mechanismus zu enthalten. Sobald ein Host infiziert ist wird also keine Kommunikationen zu einem Server des Angreifers hergestellt. 

<< Erste < Vorherige 1 2 Nächste > Letzte >>