• Homepage
  • >
  • Sophos
  • >
  • Petya-Ableger: Mit diesen Tricks verbreitet sich die neue Ransomware-Attacke

Petya-Ableger: Mit diesen Tricks verbreitet sich die neue Ransomware-Attacke

Die aktuelle Ransomware-Attacke, die dank eines „Petya“-Ablegers gestern wieder zweifelhaften Ruhm erlangte, geistert immer noch durchs Netz. Auch die SophosLabs haben derweil das neue digitale Problem untersucht und festgestellt, dass in der Tat eine neue Variante der Ransomware Petya, auch bekannt als GoldenEye oder PetrWrap, hinter dem massiven Ausbruch in Europa steckt. Allerdings unterscheidet sich der aktuelle Angriff durch eine gefährliche Ergänzung zum Ur-Schädling.

Die neue Variante enthält zusätzlich den Exploit EternalBlue, um sich noch schneller in einem infiltrierten Netzwerk auszubreiten. Der Exploit greift gezielt den Windows Server Message Block (SMB) Service an, der dazu dient, Dateien oder Drucker ohne große Umstände innerhalb lokaler Netzwerke zu nutzen. Dieses Problem wurde zwar von Microsoft mit dem Security-Bulletin MS17-010 im März angegangen, ist aber aufgrund fehlender Updates in vielen Systemen noch immer präsent, und der Exploit wurde bereits von WannaCry im letzten Monat genutzt.

Die neue Attacke auf Basis von Petya scheint außerdem zu versuchen, sich innerhalb eines Netzwerks weiter zu verbreiten, in dem es – wie gestern bereits beschrieben – Admin-Passwörter knackt und andere Netzwerk-PCS durch die Nutzung von Remote Admin-Tools infiziert. Last but not least dehnt sich die Ransomware durch die Infektion von Netzlaufwerken auf anderen Computern aus. Das geschieht durch die Ausführung eines Codes, der Zugangsdaten stiehlt und die Passwörter von Nutzer-Konten knackt, um Ransomware zu implementieren. Die Malware ist sogar in der Lage, Remote-Geräte zu infizieren, indem sie das legitime Remote Admin Tool PsExec aus der Microsoft SysInternals Suite nutzt.

Was kann nun also getan werden, um das Ganze einzudämmen und der Lage Herr zu werden, sofern man noch die Chance zum Reagieren hat?

  • Stellen Sie sicher, dass alle Systeme auf dem aktuellen Stand sind – inklusive dem Microsoft Bulletin MS17-010
  • Eventuell macht es Sinn, PsExec auf Standard-PCs mit einer Endpoint-Protection-Lösung zu blockieren und so einen Verbreitungsweg einzudämmen
  • Erstellen Sie regelmäßig Backups und speichern Sie im Optimalfall die letzte Kopie außerhalb des Netzwerks. Nutzen Sie einen Backup-User, der einzig und allein Zugriff auf das Backup-Share hat! Eine eigene Verschlüsselung sorgt außerdem dafür, dass Sie keine Angst haben müssen, falls das Backup doch einmal in die falschen Hände gerät. Mein Rat hier: Veeam!
  • Leider immer wieder erwähnenswert: Schulen Sie Mitarbeiter dahingehend, dass diese E-Mails mit Anhängen immer mit einer gewissen Vorsicht handhaben, vor allem wenn die Absender nicht bekannt sind!
  • Erwägen Sie ausserdem den Einsatz von Anti-Ransomware-Technologie – gängige Lösungen für das Netzwerk gibt es beispielsweise von Sophos (Intercept X)

Persönlich gilt in meinen Augen: Rechner nicht neu starten und bei jeglichem Verdacht direkt vom Netz nehmen. Fällt das Kind dann doch mal in den Brunnen, nicht zahlen! Aller Voraussicht nach gibt es zeitnah auch wieder legale Tools, um wieder an die eigenen Daten zu gelangen. Zahlen heißt aber, dieses dubiose Geschäftsmodell weiter zu unterstützen – bis zum nächsten Ausbruch. Hier sollte man lieber in die Sicherheit an Servern und Endpoints und in ein ordentliches Backup investieren!

  • facebook
  • googleplus
  • twitter
  • linkedin
  • linkedin
  • linkedin

Stolzer Familienvater. Digital Native und chronischer Device-Switcher. Multimedia-Freak. UK-Fan, auch mit Brexit. Blogger mit stets zu wenig Zeit. Hobbyphilosoph. Musik-Enthusiast. Querdenker. Zyniker. Hauptberuflicher IT-Consultant- & Vertriebler. Auch zu finden bei XING. Dieser Artikel hat einen Job oder zumindest Euren Seelenfrieden gerettet und gegebenfalls sogar für Kurzweil gesorgt? Die PayPal-Kaffeekasse freut sich - dankeschön!

  • facebook
  • twitter
  • googleplus
  • linkedIn
  • instagram
  • telegram

Kommentar verfassen