Schutz vor Petya

Die Ransomware-Welle rollt

06.07.2017
Von 


Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.

So läuft eine Petya-Infektion ab

Die Security-Branche analysiert derzeit fieberhaft die technischen Details, wie die Petya-Kampagne ausgeführt wurde und welche Angriffsvektoren die Hacker verwendet haben. Sicher ist bislang lediglich, dass auch die Abwandlung der Petya-Ransomware die Windows-SMB-Schwachstelle ("EternalBlue") nutzt, die zur rasanten Verbreitung der WannaCry-Ransomware führte. Daneben nutzt die Ransomware auch eine weitere, von der NSA entdeckte Windows-Sicherheitslücke namens "EternalRomance". Die IT-Sicherheitsspezialisten von F-Secure warnen allerdings bereits, dass die Auswirkungen für Unternehmen im Fall von Petya deutlich gravierender sein könnten. Folgendes Video zeigt Ihnen, wie eine Infektion mit Petya für gewöhnlich abläuft:

Petya unterscheidet sich im Wesentlichen dadurch von "gewöhnlicher" Ransomware, dass sie nicht nur einzelne Dateien, sondern die komplette Festplatte verschlüsselt - das System ist also nach einer Infektion nicht mehr nutzbar.

Ein "Kill Switch", der im Fall von "WannaCry" die Ausbreitung verhindern konnte, wird es für die aktuelle Petya-Welle nach Einschätzung von F-Secure Sicherheitsforscher Sean Sullivan nicht geben.

Beim Security-Anbieter FireEye hat man die Petya-Abwandlung ebenfalls bereits genauer unter die Lupe genommen und auch einen Angriffsvektor ausgemacht. Demnach soll es sich dabei um die - besonders in der Ukraine weit verbreitete - Buchhaltungssoftware M.E.Doc handeln. Weitere Angriffsvektoren schließen die Experten jedoch nicht aus. Die eingesetzte Ransomware nutzt laut FireEye teilweise dieselben Techniken wie Petya - etwa beim Überschreiben des Master Boot Record.

Ransomware vorbeugen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits eine Pressemeldung herausgegeben, die sich mit der aktuellen Petya-Ransomware-Welle befasst. Betroffene Unternehmen können sich per E-Mail direkt an die Meldestelle des BSI wenden.

BSI-Präsident Arne Schönbohm lässt in seinem Statement keinen Zweifel daran, dass Firmen und Organisationen unter Zugzwang stehen: "Angesichts der akuten Bedrohungslage rufen wir die Wirtschaft erneut dazu auf, die Risiken der Digitalisierung ernst zu nehmen und notwendige Investitionen in die IT-Sicherheit nicht aufzuschieben."

Sicherheitsanbieter Avast hat unterdessen in einer internen Analyse herausgefunden, dass derzeit weltweit 38 Millionen Systeme online sind, auf denen die SMB-Schwachstelle weiterhin zu Cyber-Attacken einlädt.

Eine einfache Lösung, um sich vor erpresserischer Malware zu schützen, gibt es nicht, wie Ralf Sydekum von F5 Networks klarstellt: "Es gibt keine einfache Lösung, mit Ransomware umzugehen. Mit dem Eintritt in die neue Welt des Internet of Things (IoT) und der auf Anwendungsebene vernetzten Geräte vergrößert sich die Angriffsfläche ständig und Attacken nehmen zu. Angreifer haben jetzt mehr Möglichkeiten, Daten zu infiltrieren. Deshalb sollte der Fokus stärker auf die Anwendungs- und Datensicherheit gelegt werden. Zudem sollte Cyber-Sicherheit ein integraler Bestandteil unseres täglichen Lebens werden."

Auch Ross Brewer, Vice President bei LogRhythm, rät Unternehmen und Institutionen, die Augen nicht länger vor der Realität zu verschließen: "Diese Folge-Attacke macht nun mehr als deutlich, wie real die Gefahr entsprechender Angriffe ist - und man darf durchaus annehmen, dass das Schlimmste wohl erst noch kommt. Wie schon bei WannaCry sollten Organisationen den Ausbruch als klare und frühe Warnung betrachten, ihre Sicherheitsmaßnahmen zu verstärken und professionell aufzusetzen. Gute Vorbereitung ist der Schlüssel dazu, solche Angriffe zu überstehen."

Petya-Razzia in der Ukraine

Die Cybereinheit der ukrainischen Polizei hat am 5. Juli nach eigener Aussage die weitere Ausbreitung von Petya verhindert. Im Rahmen einer Razzia haben die Behörden Computer und Software beim Entwickler der Steuersoftware M.E.Doc beschlagnahmt. Das geschah, nachdem offensichtlich neue Anzeichen für böswillige Cyberaktivitäten aufgetaucht waren. Das beschlagnahmte Material wird nun von der Polizei untersucht. Die Behörden haben ein Video der Cyber-Razzia auf YouTube veröffentlicht:

Die ukrainischen Behörden glauben inzwischen, dass die Attacke mit Petya nur ein Ablenkungsmanöver war. Eine Theorie der Ermittler fußt dabei auf der Annahme, die Malware sei von staatlichen Akteuren mit dem Ziel geschaffen worden, die Ukraine zu destabilisieren. Die Behörden empfehlen jeder Organisation, in der die M.E.Doc-Software zum Einsatz kommt, die Nutzung sofort einzustellen und betroffene Rechner vom Netzwerk zu nehmen.

Mit Material von IDG News Service.