Posts Tagged: ‘Trojaner’

Angriffswelle mit Petya – Zerstörung zum Zweck?

29. Juni 2017 Posted by Robert Becker

Rückkehr von Petya? Weltweite Ransomware-Attacke legt Rechner lahm

Schwerpunkte der Angriffswelle: Russland und Ukraine

Gerade einmal zwei Monate nach der globalen WannaCry-Attacke meldet sich mit Petya eine alte Bekannte zurück: Die Erpressersoftware wütet seit Dienstag Morgen auf Rechner von Unternehmen und Behörden weltweit. Betroffen von der Angriffswelle mit Petya sind unter anderem das US-Pharmaunternehmen Merck, der Nahrungsmittelkonzern Mondelez, die Reederei Maersk, die Anwaltskanzlei DLA Piper, der Medienkonzern WPP und der Industriekonzern Saint Gobain. Auch vor den Computern des 1986 havarierten Kernkraftwerks Tschernobyl macht die Erpressersoftware offenbar nicht halt: Die Betreiberfirma schaltet die Windows-Systeme vorläufig ab und kontrolliert die Radioaktivität manuell.

Ganz konkret handelt es sich um eine Abwandlung von Petya, die die gleiche Windows-Schwachstelle (MS17-010) ausnutzt, wie zuvor schon WannaCry. Im Mai hatte diese Ransomware binnen zweier Tage Computer weltweit lahmgelegt. Unternehmen, darunter die Deutsche Bahn, die Netzbetreiber Telefónica und Telecom, der Logistikriese FedEx, sowie die Autobauer Nissan und Renault, waren betroffen.

Chronik der neuen Angriffswelle mit Petya

Der erste erfolgreiche Angriff traf Dienstag Morgen Behörden und Unternehmen in Russland und der Ukraine. Die Meldungen kamen da fast im Minutentakt: In Russland melden die Ölfirmen Rosneft und Bashneft massive digitale Angriffe und auch die Unternehmen Mars sowie Nivea sind in Russland von Cyberattacken betroffen.

Angriffswelle mit Petya Zeitgleich kommen beunruhigende Nachrichten aus der Ukraine: Die staatliche Telefongesellschaft Ukrtelekom, die Nationalbank sowie drei weitere Banken, die Energieversorger Kiewenergo und Ukrenergo, der Medienkonzern „TRK“ sowie die Ableger von Deutscher Post und Metro in der Ukraine melden Ransomware-Angriffe. Das Netzwerk der Regierung ist offline und es kommt zu spürbaren Beeinträchtigungen am Flughafen von Kiew aufgrund von Systemausfällen.

Im Laufe des Nachmittags gesellen sich auch aus Spanien, Großbritannien und Dänemark Berichte von Infektionen dazu: Die Computersysteme sowohl der in Madrid ansässigen, weltweit tätigen Anwaltskanzlei DLA Piper, als auch der britischen Werbeagentur WPP seien attackiert worden. Die dänische Reederei Maersk erklärt, ihre IT-Systeme seien durch die Angriffswelle mit Petya an mehreren Standorten lahmgelegt.

In der Hamburger Konzernzentrale des deutschen Beiersdorf-Konzern geht seit Dienstagnachmittag ebenfalls nichts mehr. Alle Computer sowie die Telefonanlage seien ausgefallen und viele Mitarbeiter seien deswegen frühzeitig nach Hause gegangen.

Gleiche Sicherheitslücke wie WannaCry ausgenutzt

Angriffswelle mit Petya Fest steht inzwischen auch, dass die Malware die selbe Sicherheitslücke nutzt wie unlängst schon WannaCry: und zwar Eternal Blue. Diese Schwachstelle war eigentlich nur dem amerikanischen Geheimdienst NSA bekannt – zumindest bis der gehackt wurde und die Angreifer verrieten, wie die Lücke ausgenutzt werden kann. Zudem verwendet die neue Petya-Version Windows-Funktionen, um sich auch über den infizierten Rechner hinaus im Netzwerk zu verbreiten.

Inzwischen hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt, dass es sich um eine neue Variante von Petya handelt, die auf die vom WannaCry-Angriff bekannte Lücke zum Einfall in ein Netzwerk setze: „In internen Netzen benutzt Petya zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung und kann damit auch Systeme befallen, die auf aktuellem Patchstand sind.“

Petya verschlüsselt und manipuliert

Petya hatte im März 2016 schon einmal seinen großen Auftritt: Im Unterschied zu anderen Krypto-Trojanern verschlüsselt Petya nicht „nur“ bestimmte Dateien, sondern manipuliert auch den Boot-Bereich der primären Festplatte. Somit kann das Betriebssystem nicht gestartet werden. Stattdessen erscheint eine Nachricht, in der ein Lösegeld verlangt wird.

In der aktuellen Lösegeldforderung fordern die Erpresser ihre Opfer auf, 300 US-Dollar in Bitcoins an eine bestimmte Wallet zu schicken. Anschließend soll das Opfer eine E-Mail schreiben, um den Schlüssel zur Rettung der Daten zu erhalten. Das haben offenbar schon etliche Betroffene getan: Tausende Euros sind an die Erpresser geflossen. Ob im Gegenzug tatsächlich Daten wieder freigegeben wurden, ist uns nicht bekannt.

Ging es um´s Geld oder darum Chaos zu stiften?

Angriffswelle mit Petya Während der Verbreitungsweg noch ermittelt wird – nach Informationen von LANline sei ein gefälschtes Update für die Buchhaltungssoftware des kompromittierten ukrainischen Softwarehauses MeDoc als initialen Angriffsvektor ausgemacht – verweisen diverse Sicherheitsexperten darauf, dass die Malware ein sehr schlechter Erpressungstrojaner sei.

Als Beweis führen sie den auffallend komplizierten Bezahlvorgang an, für den eine E-Mail Adresse notwendig war. Inzwischen hat der deutsche E-Mail-Provider Posteo diese gesperrt. Damit können die Erpresser nun nicht mehr auf ihr Postfach zugreifen oder E-Mails versenden. Auch die Opfer können das Postfach nun nicht mehr kontaktieren, um Informationen zur Rettung ihrer Daten zu erhalten. Während bei einem typischen Ransomware-Angriff zudem pro Opfer eine Adresse genannt wird, auf die Bitcoins überwiesen werden sollen, sollen im aktuellen Fall aber mehrere Opfer Geld auf ein- und dieselbe Adresse überweisen. Das macht es den Tätern unnötig schwer, an das erpresste Geld heranzukommen.

Offenbar geht es den Machern der Software nicht darum, schnell viel Geld zu machen. Die Vermutung liegt nahe, dass die Angriffswelle mit Petya möglichst viel Chaos erzeugen wollen. So zitiert der Sicherheitsforscher Brian Krebs seinen Kollegen Nicholas Weaver, dass es sich dessen Einschätzung nach wohl um einen „absichtlichen, bösartigen und destruktiven Angriff“ handelte oder vielleicht um einen als Erpressungstrojaner getarnten Test. Verschiedene Sicherheitsfirmen gehen aktuell davon aus, dass es sich nicht um einen Wiper handelt.

Auffällig ist aber Eines: Die neue Angriffswelle zielt verstärkt auf Bereiche wie das Gesundheitswesen, öffentliche Verwaltung, Post- und Transportdienste. Damit werden nicht mehr nur Unternehmen empfindlich in der Ausführung ihrer Geschäftstätigkeit behindert – beispielsweise durch die prompte Stilllegung von Produktionen – sondern Menschen aller gesellschaftlichen Schichten in ihren täglichen Aktivitäten beeinflusst.

Patchen Sie umgehend!

Alles deutet darauf hin, dass die neue Ransomware einen ähnlichen Angriffsvektor wie WannaCry nutzt. Wenn Sie nicht längst schon gepatcht haben, dann spielen Sie bitte umgehend alle Updates auf Ihre Windows-Rechner auf. Der Patch ist seit Anfang März verfügbar, Microsoft hat für die älteren Versionen Windows XP und Vista die Patches sogar nachgeliefert. Downloadmöglichkeiten der Microsoft Patches finden Sie auf der Produktseite von Microsoft.
Zwar können wir zur Stunde auch noch nicht sagen, ob das als Schutzmaßnahme ausreicht, da die genauen Verbreitungswege der Malware noch nicht bekannt sind. Stellen Sie deshalb zusätzlich sicher, dass Backups in Ihrem Unternehmen zum Einsatz kommen.

Schützen Sie sich vor Ransomware!

LesetippIn unserem eBook „Schluss mit Cyberattacken“ geben wir Ihnen noch mehr Praxistipps und informieren Sie auch über Hintergründe und die Anatomie von Cyberattacken. Was Sie sonst noch gegen Krypto-Trojaner tun können, haben wir in unserem kostenlosen Ratgeber zusammengestellt.

Am Freitag, 30. Juni, 10:00-10:30 Uhr und Dienstag, 04. Juli, 10:00-10:30 Uhr bieten wir ein Krypto-Trojaner Webinar an, für das Sie sich gerne noch anmelden können.

Der Beitrag Angriffswelle mit Petya – Zerstörung zum Zweck? erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.

Read full article |Kommentare deaktiviert für Angriffswelle mit Petya – Zerstörung zum Zweck?
Tags: , ,
Categories: Allgemein

Schutz vor Crypto- und anderen Trojanern mit der GBS iQ.Suite

7. April 2016 Posted by Oliver Regelmann

Neben der grundsätzlich immer vorhandenen Problematik mit Viren und Trojanern, haben in letzter Zeit diverse sogenannte “Crypto-Trojaner” erheblichen Aufwand bei Privatpersonen, Unternehmen und Behörden verursacht.

Die durch die Trojaner durchgeführte Verschlüsselungen von Dateien oder ganzen Festplatten führt im schlimmsten Fall zu Datenverlusten in erheblichem Ausmaß, im besten Fall aber immer noch zu einigem Aufwand bei der Bereinigung / Neu-Installation der befallenen PCs und Wiederherstellung der Daten aus dem Backup.

Die Geschwindigkeit, mit der sich diese Dinger per Mail verbreiten, zeigt, dass auch bei einer eigentlich durch Virenscanner geschützten Mail-Infrastruktur oft noch Löcher existieren. Es zeigt sich, dass die meistens stündlichen Updates der Scanner-Signaturen oft nicht ausreichen. Dazu kommt noch, dass hier der Makro-Virus – also in Office-Dokumente eingebetter Code – eine Renaissance erlebt. Der führt zwar selbst in der Regel nicht zur Verschlüsselung, lädt aber als “Downloader” entsprechenden Code aus dem Internet nach.

Ich möchte ein paar Ansätze aufführen, wie man mit der iQ.Suite von GBS auf IBM Domino und MS Exchange damit umgehen kann. Zuvorderst muss aber immer wieder auf die Aufklärung der Benutzerinnen und Benutzer über solche Themen hingewiesen werden. Irgendwie wird sich immer ein Weg an allen technischen Schranken vorbei finden lassen und dann kommt es auf den Menschen am Arbeitsplatz an, wie er mit unbekannten Anhängen oder Links umgeht.

Aber nun zu den rein technischen Optionen:

  • Die iQ.Suite bietet die Möglichkeit, Virenscanner-Engines mehrerer Hersteller parallel einzusetzen. So erhöht man die Chance, dass zumindest einer der Hersteller eine aktuelle Signatur für eine Malware bereits erstellt und ausgeliefert hat. Zumindest sollte hier eine andere Engine verwendet werden als die, die auf den Arbeitsplätzen oder Servern im Haus installiert ist.  Ein im Vergleich zum potenziellen Schaden recht günstiges Mittel.
  • Für die Engines von AVIRA und Kaspersky gibt es inzwischen die Option der Cloud-Integration. Dabei werden Signaturen der Anhänge mit den Live-Daten des jeweiligen Herstellers abgeglichen, wodurch noch schneller auf neue Malware-Varianten reagiert werden kann.
  • Über die Dateisignaturen der iQ.Suite lassen sich ganz gezielt bestimmte Dateitypen sperren oder freigeben. So kann man z.B. Office-Dokumente mit Makros oder JS-Dateien explizit aus dem Mailverkehr rausfiltern. Das hat natürlich unter Umständen ein paar Nebenwirkungen, weil nicht jedes Word- oder Excel-Makro bösartig ist.
  • Ein paar ganz interessante Ansätze, wie man damit dann automatisiert umgehen kann, hat GBS in einem kostenlosen Guide zusammengefasst. Das Dokument kann man hier herunterladen. Hierfür sind unter Umständen zusätzliche Module der iQ.Suite notwendig.

Bei Fragen zur technischen Umsetzung mit der iQ.Suite stehen wir natürlich gerne zur Verfügung.

 

Nebenbei möchte ich auch darauf hinweisen, dass die Polizei explizit um Anzeige solcher Vorfälle bittet.

Der Beitrag Schutz vor Crypto- und anderen Trojanern mit der GBS iQ.Suite erschien zuerst auf n-komm GmbH.

Read full article |Kommentare deaktiviert für Schutz vor Crypto- und anderen Trojanern mit der GBS iQ.Suite
Tags: , , , ,
Categories: Allgemein