Der Verschlüsselungstrojaner Petya wird wohl in einer neuen Kampagne verteilt und befällt weltweit Systeme von Firmen und Behörden. Man spricht von WannaCry-Ausmaßen.
Anzeige
Neue PetyaWrap-Variante zielt auf SMBv1
Erste Berichte kommen aus Russland – die Nachrichtenagentur TASS hat hier einen englischsprachigen Bericht. Demnach sind Systeme von Firmen in Russland und in der Ukraine unter den angegriffenen Zielen. In diesem Tweet findet sich der gleiche Hinweis.
A new #WannaCry-like massive attack on Russian and Ukrainian #Critical #Infrastructue discovered. More countries expected #Petya #infosec pic.twitter.com/hRDPHKAC8R
— Group-IB (@GroupIB_GIB) 27. Juni 2017
Bei The Hacker News gibt man an, dass weltweites Chaos herrsche und Systeme von Firmen, Banken, und Energieversorgern in Russland, der Ukraine, in Spanien, Frankreich, Großbritannien (Werbefirma WPP), Indien und in weiteren europäischen Ländern befallen seien. Einem NDR-Bericht nach, ist die Beiersdorf AG (Nivea) in der Firmenzentrale von der Ransomware betroffen.
Update: Laut diesem Bericht weiten sich die Infektionen aus. Die Zentralbank der Ukraine, deren Telekom, der Flughafen in Kiew, Metros, das Atomkraftwerk in Tschernobyl, die russische Firma Rosneft, das russische Transportunternehmen Damco und das dänische Schifffahrtsunternehmen Maersk sind betroffen. Weiterhin fallen Geldautomaten (ATM) (siehe) und Kassensysteme (PoS) wohl aus. In den USA sind wohl Merk (Pharma) und die Anwaltsfirma DLA Piper betroffen. Weiterhin sind Mars (Süßigkeiten) und der französische Einzelhändler Auchan unter den bisher rund 80 betroffenen Firmen (siehe).
Anzeige
Bitdefender hat diesen Tweet sowie einen fortlaufend aktualisierten Blog-Beitrag zum Thema veröffentlicht. Auch von Eset liegt mir eine Stellungnahme vor.
Zur Verbreitung scheint sie eine Kombination aus einem SMB Exploit (EternalBlue), wie er auch bei WannaCry zum Einsatz kam, zu verwenden. So verschafft sie sich Zugriff auf das Netzwerk, wo sie sich durch PsExec weiter verbreitet. Diese gefährliche Kombination ist wahrscheinlich der Grund für die schnelle und globale Ausbreitung – obwohl das mediale Interesse nach vorherigen Ausbrüchen hoch war und die meisten Sicherheitslücken hoffentlich beseitigt wurden. Nur ein einziger ungesicherter Computer reicht aus, damit sich die Ransomware Zutritt zum Netzwerk verschaffen kann. Die Malware kann sich dann Administratoren-Rechte erteilen und andere Computer befallen.
Ursprung der Ausbreitung scheint die Ukraine zu sein. Ersten Berichten nach sind Unternehmen aus dem Finanz- und Energiewesen sowie zahlreiche andere Industrien betroffen. Die Auswirkungen des Schadens für den Energiebereich sind noch nicht abzusehen, bisher gibt es keine Berichte über Stromausfälle.
Das Team von Eset führt in diesem Blog-Beitrag die Informationen zusammen und aktualisiert diese.
Laut diversen Quellen nutzt die neue Petya Ransomware-Variante, die den Namen Petwrap erhalten hat, die von WannaCry bekannten ETERNALBLUE-Mechanismen zur Ausbreitung. Über ungepatchte Windows SMBv1-Sicherheitslücken kann die Ransomware sich in Unternehmensnetzwerken ausbreiten. Es gibt aber wohl weitere Angriffsvektoren (siehe unten)
Heute morgen hatte ich im Blog-Beitrag Sicherheitsinfos: WannaCry, Locky, Hacks und mehr darauf hingewiesen, dass einen Monat nach WannaCry neue Infektionen (z.B. bei Honda in der Produktion) auftraten. Es gibt also offenbar eine Menge ungepatchte Systeme mit SMBv1-Sicherheitslücken. Die Suchmaschine Shodan wirft fast 2 Millionen Systeme aus (siehe folgende Karte – via Twitter).
So arbeitet PetyaWrap
Über die Petya-Ransomware hatte ich mehrfach berichtet (z.B. Ransomware-Alarm: Petya kommt mit Mischa im Beipack). Bei einem befallenen Computer werden keine Dateien verschlüsselt. Vielmehr bootet der Schädling das System neu und verschlüsselt die Master File Table (MFT) der Festplatte. Damit kann nicht mehr auf das Laufwerk bzw. dessen Informationen zugegriffen werden. Anschließend wird eine entsprechende Meldung für den Benutzer angezeigt, wie man in diesem Tweet sehen kann.
Huge Global #CyberAttack / #Ransomware spreading right now. Its a #Petya variant that spreads through SMB and #EternalBlue exploit. pic.twitter.com/fjP60jS6p9
— George Argyrakis (@gargyrakis) 27. Juni 2017
Auch dieser Tweet von Avira bestätigt den Angriff von PetyaWrap unter Verwendung von ETERNALBLUE:
The #Petya #ransomware is back using the #EternalBlue exploit – and our #Antivirus customers are protected! #infosec pic.twitter.com/fWap1rRLeA
— Avira (@Avira) 27. Juni 2017
Laut Avira sind deren Kunden geschützt. Erscheint der Text:
"If you see this text, then your files are no longer accessible, because they are encrypted. Perhaps you are busy looking for a way to recover your files, but don't waste your time. Nobody can recover your files without our decryption service."
Die Ransomware fordert dann den Gegenwert von 300 US $ in Bitcoins. Aktuell erkennen, laut Virus Total nur 16 31 von 61 Antivirusprodukten (Tendenz schnell steigend) diesen Schädling.
Update: Diesem Tweet zufolge, verwendet PetyaWrap nach einer Infektion psexec, um sich mit den Sicherheitscredentials der Benutzer im Netzwerk anzumelden.
Petya using authentication re-use on systems -> that means more than just exploit being used for spreading.
This will be bad for folks.
— Dave Kennedy (ReL1K) (@HackingDave) 27. Juni 2017
Zudem habe ich gesehen, dass auch WMIC zur Verbreitung verwendet wird. Weiteren Tweets von Dave Kennedy nach zu urteilen, verwendet PetyaWrap weitere Angriffsmethoden, so dass das Patchen von ms17-010 wohl nicht ausreicht. Er schlägt vor, administrative Freigaben per Gruppenrichtlinien zu deaktivieren.
Was kann man tun?
Erste Maßnahme wäre (neben den Hinweisen im vorherigen Absatz), die ungepatchten Systeme vom Netz zu trennen und dann zeitnah die betreffenden Updates einzuspielen. Das BSI hat hier die Infos zu den Patches verlinkt. Zudem sollte geprüft werden, ob die in der Organisation verwendete Sicherheitssoftware den Schädling erkennt.
Weiterhin sollten Unternehmen und Behörden eine Warnung an Mitarbeiter herausgeben, da die Primärinfektion vermutlich per Mail-Anhang erfolgt. Sowohl bei The Hacker News (Englisch) als auch bei heise.de gibt es Artikel.
Übrigens: Der Anbieter Posteo hat die E-Mail-Adressen der Petya-Angreifer laut dieser Mitteilung und diesem heise.de-Artikel gesperrt. Damit entfällt wohl die Möglichkeit, die Erpresser zu kontaktieren.
Killswitch gefunden?
Es geht der Hinweis um, dass man durch anlegen einer Datei die Infektion eines Rechners verhindern könne. Weitere Details finden sich im Beitrag Neues zur Petya Ransomware – Killswitch gefunden?
AV-Produkte, die den Schädling erkennen
Ad-Aware Trojan.Ransom.GoldenEye.B
Avira (no cloud) TR/Rogue.airfqba
BitDefender Trojan.Ransom.GoldenEye.B
CrowdStrike Falcon (ML) malicious_confidence_100% (W)
Cyren W32/Petya.VUNZ-1981
DrWeb Trojan.Encoder.12544
Emsisoft Trojan-Ransom.GoldenEye (A)
Endgame malicious (high confidence)
ESET-NOD32 Win32/Diskcoder.C
F-Prot W32/Petya.Ransom.J
Fortinet W32/Ransom.EOB!tr
GData Trojan.Ransom.GoldenEye.B
Ikarus Trojan-Ransom.Petrwrap
K7AntiVirus Trojan ( 0001140e1 )
K7GW Trojan ( 0001140e1 )
Kaspersky UDS:DangerousObject.Multi.Generic
Malwarebytes Ransom.Petya
McAfee Ransomware-GCC!71B6A493388E
McAfee-GW-Edition Artemis!Trojan
eScan Trojan.Ransom.GoldenEye.B
Palo Alto Networks (Known Signatures) generic.ml
Panda Trj/CryptoPetya.B
Qihoo-360 Trojan.Generic
Sophos Troj/Ransom-EOB
Symantec ML.Attribute.HighConfidence
Tencent Win32.Trojan.Ransomware.Skuo
TrendMicro Ransom_PETYA.TH627
TrendMicro-HouseCall Ransom_PETYA.TH627
VBA32 TrojanRansom.Filecoder
Webroot W32.Ransomware.Petrwrap
ZoneAlarm by Check Point UDS:DangerousObject.Multi.Generic
Ähnliche Artikel:
Ransomware WannaCry befällt tausende Computer weltweit
Malwarebytes-Analyse: Wie sich WannaCry verbreitete
WannaCrypt: Updates für Windows XP, Server 2003 & Co.
WannaCry: Meist ungepatchte Windows 7 Systeme befallen
WannaCry: Verschlüsselte Daten per Recovery retten?
WannaCry: Analysen, Windows 10-Port, Daten-Recovery …
Neues zur Petya Ransomware – Killswitch gefunden?
Anzeige
Unternehmen, wie Honda, verwenden doch die Windows Enterprise Version. Damit steht doch AppLocker, seit Windows 7, zur Verfügung. Über die Gruppenrichtlinien kann das System so konfiguriert werden, dass nur noch erlaubte Software ausgeführt wird. Microsoft ist nicht ganz unschuldig, aber die Hauptschuld tragen diejenigen, die entsprechende Schutzmechanismen nicht einsetzen.
Hier beweist sich wider einmal, dass Antiviren-Software weniger schützt als AppLocker oder Software Restriction Policies (SRP), die in jeder Windows Pro Version enthalten ist.
In den USA wird gerade zu Mittag gegessen – das Thema Petya alias Goldeneye ist dort auch in aller Munde (Guten Appetit!)
Eben schrieb der Mod bei den Malwarebyterianern:
»We are detecting this new Petya variant.«
PS: »This ransomware is detected by our Anti-Ransomware product and the real-time protection components in MB3. If you're running those, you should be safe. However, this is a good reminder that you should run windows update, because the patch for this vulnerability was already released by Microsoft.« (Link)
"… da der Patch für diese Sicherheitsanfälligkeit bereits von Microsoft freigegeben wurde." – weiß jemand gerade, was der Mann damit sagen will?
Er 'hofft', dass der SMBv1-Patch ms17-010 da hülfe
Diesmal scheint es keinen "Kill Switch" mehr zu geben …
Der Artikel erklärt auch, was mit dem MS-Patch – vom März: die gepatchte EternalBlue-Schwachstelle – gemeint ist (s.o.)
(Sorry Günter, Du warst etwas schneller – habe es auch gerade gelesen …)
Günter schrieb in der Vergangenheit das der Microsoft Defender seit Windows 8 ein vollwertiger Virenschutz sei. Andere Antivirensoftware sei nicht nötig.
https://www.borncity.com/blog/2015/09/05/windows-10-welche-antivirus-lsung-soll-ich-einsetzen/
Microsoft befindet sich nicht unter den Virenscannern, die Petya erkennen und davor schützen.
Bitte vergiss nicht, dass die Liste der Virenscanner, die ich im Artikel angegeben habe, eine Momentaufnahme ist. Microsoft untersucht seit dem ersten Auftreten die Malware und hat (ich vermute es mal stark) die Signaturen für den Defender angepasst – der taucht m.w. nicht bei Virus Total auf. Ich habe daher den Defender, MSE, Forefront und Endpoint Security nicht in obige Liste aufgenommen, da es mir gestern Nacht nicht gelungen ist, zu verifizieren, dass die aktuellen Signaturen den Schädling erkennen.
Nachtrag: Microsoft hat hier eine Menge zusammen getragen. Dort findet sich die Bestätigung, dass die Virensignaturen, die von der MsMpEng in diversen Sicherheitsprodukten (u.a. Defender) genutzt wurden, aktualisiert sind und die Ransomware erkennen.
Günter, Du weißt doch Bescheid – mal interessehalber gefragt: Wie infiziert eigentlich diese Ransomware einen PC? Wie käme eine eine Datei namens "perfc" (perfc.dat, perfc.dll) ins Windows-Verzeichnis, wenn man es – nach neuesten Erkenntnissen – nicht prophylaktisch selber täte? Und was passiert bei einer Online-Erkennung per AV – wird da ein Download blockiert, Ports gesperrt oder was geht da vor?
(übrigens Respekt, was Du da in kurzer Zeit alles zusammengetragen hast – die imo am besten informierte Seite!)
Was ich momentan weiß (ist nicht alles aktuell, da ich gelegentlich auch Brötchen verdienen – aka ein Android-Buch überarbeiten – muss): Die initiale Infektion scheint über eine kompromittierte Update-Funktion in einer ukrainischen Buchhaltungssoftware passiert zu sein (ist aber initial nicht bestätigt). Das erklärt die hohen Infektionsraten in der Ukraine und in Russland.
Weiterhin wird der ETERNALBLUE-Exploit verwendet, um ungepatchte Systeme (ich vermute per Internet) zu infizieren. Ein ungepatchter Rechner in einem Netzwerk, der per Internet erreichbar ist, reicht wohl aus, um den Schädling im Netzwerk zu verteilen. Wie der ETERNALBLUE-Angriff genau abläuft, liegt aktuell noch im Dunkeln.
AV-Software müsste den initialen Angriff erkennen und abwehren. Da wären die Seiten der Sicherheits-Experten die bessere Anlaufstelle.
Nachtrag: Microsoft hat hier eine Menge zusammen getragen. U.a. auch Hinweise zur Infektion.
Danke für den Nachtrag, interessant …
"Wie der ETERNALBLUE-Angriff genau abläuft, liegt aktuell noch im Dunkeln."
Scheint sich zu lichten (s.o.)
Leider komme ich anscheinend nie in den Genuss dieser fein programmierten Software für Mega-Doofies, dabei hätte ich sie liebend gern mal richtig schön filetiert und gebraten … ;-)
PS, umgerechnet knapp 10k$ sind den Kapuzen-Heinis mit ihrem NSA-Exploid bis dato gutgeschrieben worden, viel zu viel oder noch erheblich zu wenig, je nach Sichtweise …
https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/