Nachtlektüre: NotPetya-Infektion bei A.P. Møller-Maersk

Noch ein wenig Lesefutter für Administratoren im Firmenumfeld. Es geht um die Aufarbeitung der NotPetya-Infektion beim dänischen Reeder A.P. Møller-Maersk, der weltweit operiert und besonders betroffen war.


Anzeige

Ende Juni 2017 verbreitete sich die nachträglich NotPetya getaufte Ransomware. Ausgehend von einem infizierten Update-Server in der Ukraine verbreitete sich die Schadsoftware weltweit auf Systemen, die eine bestimmte Software aus der Ukraine einsetzen mussten. Die dänische Reederei A.P. Møller-Maersk hatte es besonders schwer getroffen. Die Link-Liste am Artikelende hält einige Blog-Beiträge zum Ereignis vor. Aber wie sah es hinter den Kulissen der NotPetya-Infektion bei A.P. Møller-Maersk aus? Über Twitter bin ich auf einen Wired-Artikel gestoßen, auf dem genau dieses aufbereitet wird.

An incredible WIRED cover story about Petya at Maersk – about how they recovered their network – is a must read for IT and security folk. https://t.co/9882HJrJQq by @a_greenberg

— Kevin Beaumont (@GossiTheDog) 22. August 2018

Vielleicht für den einen oder anderen Administrator mit Muße als Feierabend- oder Nachtlektüre ganz interessant.

Ähnliche Artikel:
Master-Key der Petya Ransomware freigegeben
ESET Analyse zu Not Petya/Diskcoder.C Verbreitung
Neues zu Petya: Zahl der Infektionen, Ziele und mehr …
Neues zur Petya Ransomware – Gegenmittel gefunden?
Achtung: Petya Ransomware befällt weltweit Systeme
Warnung vor neuem NotPetya-ähnlichem Cyber-Angriff
Vage Hoffnung: Verschlüsselung von NotPetya knackbar
Die Folgen des NotPetya-Angriffs für Maersk
Briten: Russisches Militär für NotPetya-Angriff verantwortlich
Achtung: #BadRabbit-Ransomware-Ausbruch in Osteuropa


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Nachtlektüre: NotPetya-Infektion bei A.P. Møller-Maersk

  1. Stefan sagt:

    Spannende Geschichte, muss man echt sagen. Besonders, das grad dann ein Stromausfall in einer der Standorte war ist ein echter Zufall und für sie glück. Hut ab an die Admins die diese Zeit druchgemacht haben. Wir wurden damals von Petya getroffen, hat aber zum glück damals nur einen Standort außer gefecht gesetzt. Ging dann dank logs und Backups nur 3 Stunden bis wieder alles in Stand war. Aber da merkt man mal wie man ins Schwitzen kommt.

  2. Bolko sagt:

    Aus dem verlinkten wired-Artikel:
    "Before NotPetya's launch, Microsoft had released a patch for its EternalBlue vulnerability."

    Also sind die Administratoren schuld,
    – weil sie die verfügbaren Sicherheitsupdates nicht installiert hatten.
    – weil sie die "M.E.Doc"-Software auf den selben Rechnern laufen ließen, die auch für die internen Abläufe der Firma MAERSK lebensnotwendig waren.
    Sowas gehört mittels Air-Gap strikt getrennt.
    – weil sie für die lebensnotwendigen Rechner der Firma Windows statt Linux oder BSD benutzten.

  3. Stefan sagt:

    Naja sowas gleich auf den Deckel zu hauen finde ich immer Schwierig. Umgebungen wachsen manchmal schneller wie man sie entwickeln kann, daraus ist es vermutlich entstanden. Natürlich ist das nun keine Ausrede und den Verantwortlichen die sowas nicht früher abgesegnet haben gehört auf den Kopf geschlagen. Aber grundsätzlich den Admins einen Air Strike zu wünsche finde ich nicht korrekt, da auch die Meisten nichts dagegen tun können, sind ja auch nur Angestellt ;-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.