Nachrichten, Gerüchte, Meldungen und Berichte aus der IT-Szene
Redaktion: Heinz Schmitz
Petya ist zurück – wieder einmal
Während viele Unternehmen noch mit den Nachwirkungen von WannaCry kämpfen, startete gestern eine neue Angriffswelle mit einer Ransomware, die Petya ähnelt. Diese betrifft bisher Firmen in der Ukraine, Großbritannien und Spanien sowie viele weitere. Im Vergleich zur Vorgängerversion bedient sich „Petya“ zwei wesentlicher Neuerungen:
1.) Genauso wie die Ransomware WannaCry, basiert Petya auf den Exploit von EternalBlue. Dieser nutzt eine Schwachstelle im SMB-Protokoll aus.
2.) Die Windows-Protokolle werden gelöscht. Ergo lässt sich so beispielsweise das Windows Diagnosetool nicht mehr verwenden.
Die Sicherheitsforscher fanden heraus, dass ein ukrainisches Buchhaltungsprogramm einer Firma mit dem Namen Me Doc ein Update freigab, das die Malware "Victim Zero" auf dem System installiert. Durch eine Kombination von PSExec, WMI und EternalBlue konnte sich die Malware auf jedem Computer im Netzwerk ausbreiten. Jeder, der die Me Doc Software verwendet, sollte daher erst mal davon absehen, die Software zu aktualisieren.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet den globalen Cyber-Angriffswelle mit einer Verschlüsselungssoftware (Ransomware). Die Angriffswelle weist bezüglich Verbreitungsgrad und -geschwindigkeit Ähnlichkeiten zum Cyber-Sicherheitsvorfall "WannaCry" im Mai dieses Jahres auf. Betroffen sind weltweit Unternehmen und Institutionen, nach BSI-Erkenntnissen sind auch deutsche Unternehmen betroffen. Das BSI ruft Unternehmen und Institutionen in Deutschland auf, IT-Sicherheitsvorfälle beim BSI zu melden.
Betroffene Unternehmen sollten nicht auf Lösegeldforderungen eingehen. Das BSI nimmt derzeit technische Analysen vor und prüft den Sachverhalt, auch im Austausch mit nationalen und internationalen Partnern. Auch im Nationalen Cyber-Abwehrzentrum (Cyber-AZ) wird eine Bewertung der bislang bekannten Fakten vorgenommen. Das Cyber-AZ steht im ständigen Austausch mit den beteiligten Behörden. Zurzeit kann das geforderte Lösegeld für die Datenauch nicht bezahlt werden: Der E-Mail Service hat den Account geschlossen, an den Opfer des Angriffs ihre Zahlungsdaten schicken sollten.
BSI-Präsident Arne Schönbohm: "Nach ersten Erkenntnissen des BSI handelt es sich um eine Angriffswelle mit der Schadsoftware Petya, die unter anderem die gleiche Schwachstelle ausnutzt, die sich auch die Ransomware WannaCry zu Nutzen gemacht hatte. Das Patchen dieser Schwachstelle mit dem seit Monaten verfügbaren Microsoft-Patch hätte in vielen Fällen eine Infektion verhindert. In internen Netzen benutzt Petya zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung und kann damit auch Systeme befallen, die auf aktuellem Patchstand sind. Angesichts der akuten Bedrohungslage rufen wir die Wirtschaft erneut dazu auf, die Risiken der Digitalisierung ernst zu nehmen und notwendige Investitionen in die IT-Sicherheit nicht aufzuschieben."
Die massive Infektionswelle mit der Ransomware Petna hat zahlreiche Unternehmen weltweit getroffen – auch Großunternehmen zählen zu den Opfern. G Data Sicherheitsanalysten vermuten dahinter eine gezielte Attacke auf Firmen. Der Erpressertrojaner verbreitet sich über die Update-Server einer weit verbreiteten Buchhaltungs-Software in Osteuropa. Nachdem die Ransomware in das Unternehmen gelangt ist, verbreitet sich Petna im Netzwerk durch den Exploit namens Eternalblue, der aus den Beständen des US-Geheimdienst NSA stammt und bereits bei WannaCry zum Einsatz kam. Die Analyse dauert derzeit noch an. Aktuelle „Die aktuelle Infektionswelle nimmt gezielt Unternehmen ins Fadenkreuz. Nach unserem derzeitigen Erkenntnisstand ist eine in Osteuropa weit verbreitete Buchhaltungssoftware für die Verbreitung der Ransomware Petna verantwortlich. Dadurch sind auch zahlreiche Großunternehmen betroffen, die Geschäftsbeziehungen in die Region haben.“ erklärt G Data Security Evangelist Tim Berghoff.
Siehe auch: