KORAMIS Security Bulletin – Petya

KORAMIS Security Bulletin – Petya Variante

Informationen

Typ: Ransomware mit Wurmfähigkeit unter anderem auf Basis des EternalBlue-Exploits
Infektionswege: E-Mail-Phishing, EternalBlue, PsExec
Betroffen: Alle Windows-Systeme
Zusammenfassung: Die Ransomware kann sich im Netzwerk auch auf Systemen fortpflanzen, die vollständig mit Updates versorgt wurden

Ransomware Petya

Eine Schadsoftware mit diesem Namen war bereits vor einem Jahr in den Schlagzeilen. Damals wurde eine Software veröffentlich, die es ermöglichte, die verschlüsselten Daten kostenlos zu dechiffrieren. Bei der aktuell vorliegenden Version ist derzeit nicht davon auszugehen, dass es diese Möglichkeit geben wird. Der Erpressungstrojaner infiziert den PC und verschlüsselt die Dateien, danach wird zu einer Zahlung von 300$ in Form von Bitcoins aufgefordert. Da die im erpresserschreiben angegebene E-Mail-Adresse jedoch nicht mehr erreichbar ist, ist es völlig unmöglich, verschlüsselte Daten frei zu kaufen.

Auswirkungen

Die Infektion eines Netzwerkes kann über E-Mail-Phishing geschehen, aber auch die SMB-Lücke CVE-2017-0144, welche bereits von WannaCry verwendet wurde, kann als Einfallstor ins Netzwerk genutzt werden. Danach erhöht sich Petya ohne weiteres Zutun des Users die Benutzerrechte im System auf das höchste Level und kann dann unter anderem auch die Zugangsdaten des Administrators auslesen. Die Schadsoftware verlässt sich jedoch nicht ausschließlich auf die Lücke im SMB-Dienst. Kann ein System nicht über die genannte Schwachstelle angegriffen werden, nutzt sie das Windows-Administrations-Werkzeug „PsExec“, um Software auf weiteren Systemen im Netzwerk auszuführen. Die Fernadministration mit PsExec geschieht ohne zusätzliche Passwortabfrage, wenn die Zugangsdaten des lokalen Benutzers auf dem Zielsystem identisch sind.

Für das Eindringen in das Netzwerk benötigt die Ransomware also ein Einfallstor, für die Verbreitung im Unternehmen nicht. Sollte also im Netzwerk auch nur ein einziges System den Patch MS17-010 nicht erhalten haben, kann dies zum Angriffsvektor für das gesamte Netzwerk werden.

Lösungsempfehlungen

Folgende Lösungsalternativen können bei der Behebung der Schwachstelle hilfreich sein:

  1. Alle aktuellen Sicherheitspatches auf allen Systemen installieren, um eine initiale Infektion zu vermeiden.
  2. Deaktivierung des SMB-Dienstes.
  3. Schulung der Mitarbeiter im Umgang mit verdächtigen E-Mail-Anhängen.
  4. Implementierung unterschiedlicher Administrationspasswörter auf allen Systemen.
  5. Härtung der Systeme, z.B. durch Sandboxing (weitere Informationen: https://www.koramis.de/produkte/systemhaertung/).
  6. Nutzung von Intrusion Protection Systemen (IPS) im Perimeterschutz
    (weitere Informationen: https://www.koramis.de/services/industrial-security/).

 

Sollte eines Ihrer Systeme befallen sein oder befürchten Sie eine Bedrohung, können Sie uns natürlich jederzeit für eine genauere Betrachtung Ihrer Lage kontaktieren.

Mit freundlichen Grüßen,
das Security Solutions Team der KORAMIS GmbH

Keine Antworten

Kommentar hinterlassen

Your email address will not be published.