Petya-Kampagne nutzt Lücke in Buchhaltungssoftware

30.06.2017 | Sicherheit

[Quelle: https://www.golem.de/news/ransomware-petya-kampagne-nutzt-luecke-in-buchhaltungssoftware-1706-128631.html]

RANSOMWARE:

Petya-Kampagne nutzt Lücke in Buchhaltungssoftware

Einen Tag nach Ausbruch einer neuen globalen Ransomware-Welle gibt es Informationen zum Verbreitungsweg. Die Macher der Ransomware gehen offenbar deutlich organisierter vor, als bei Wanna Cry. Auch das Kernkraftwerk Tschernobyl ist infiziert.

Die aktuelle Petya-Ransomwarekampagne nutzt mehrere Vektoren, um Rechner zu infizieren. Neben einem Exploit aus dem Shadowbroker-Fundus wird auch eine Schwachstelle in einem von der ukrainischen Regierung genutzten Buchhaltungsprogramm ausgenutzt. Die Ransomware hat vor allem Opfer in der Ukraine befallen, darunter die Zentralbank und das Kernkraftwerk Tschernobyl.

Die Macher der Ransomware wollen offenbar deutlich gezielter vorgehen, als die Autoren von Wanna Cry. Die Infektionen verbreiten sich nicht über das offene Internet, sondern vor allem in Unternehmensnetzwerken. Wird ein Rechner in einem solchen Netzwerk infiziert, beginnt er einen Scan eines /24-Netzwerksegements, es können also maximal 255 IP-Adressen erfasst werden. Wanna Cry nutzte die Eternal-Blue-Schwachstelle im SMBv1-Protokoll und versuchte nach einer Infektion, verwundbare Rechner im gesamten Internet zu finden und diese zu infizieren.

Die russische Sicherheitsfirma Group-IB schreibt, Petya enthalte das Werkzeug LSADump, mit dem in Windows-Netzwerken Passwörter von Clients und Domänen-Controllern ausgelesen werden könnten. Ein wichtiger Vektor zur Installation der Ransomware soll jedoch eine Sicherheitslücke im Update-Mechanismus der Software M.E.Doc sein, eine Buchhaltungssoftware, die die ukrainische Regierung Unternehmen und Organisationen vorschreibt, die mit ihr zusammenarbeiten wollen.

Für Verwirrung dürfte die Namensgebung des Trojaners durch verschiedene Sicherheitsfirmen sein. Alleine Kaspersky nutzt zahlreiche Namen und schrieb zunächst, es würde sich nicht um eine Petya-Variante handeln. Zunächst wurde der Trojaner als NotPetya bezeichnet, mittlerweile bezeichnet die Firma den Schädling als „exPetr“. Auch die Bezeichnung Petwrap wird von einigen Firmen verwendet.

Keine individuellen Bitcoin-Wallets

Ähnlich wie bei Wanna Cry verfügt die verbreitete Petya-Variante nicht über individualisierte Bitcoin-Wallets. Opfer, die die Lösegeldforderung bezahlt haben, sollen per Mail Kontakt mit den Erpressern aufnehmen.

Das wird aber nicht gelingen, denn das beim Berliner Mailprovider Posteo angelegte Postfach wurde nach Bekanntwerden des Angriffs durch den Betreiber gesperrt, es werden auch keinerlei eingehende Mails mehr angenommen, wie Posteo schreibt.

Durch die Abschaltung des Postfachs haben Opfer der Ransomware keine Chance mehr, in Kontakt mit den Erpressern zu treten. Generell warnen Sicherheitsfirmen und auch Institutionen wie das BSI und die Polizei davor, Erpresser zu bezahlen, wenn es sich irgendwie vermeiden lässt.

Anders als andere Ransomware verschlüsselt Petya nicht einzelne Dateien, sondern nach einem Reboot den Master-File-Table des Rechners. Eine gefälschte CHKDSK-Warnung nach einem Neustart suggeriert Aufräumarbeiten auf der Festplatte, in dieser Zeit findet aber die Verschlüsselung statt.

Die Ransomware erstellt in infizierten Rechnern eine Aufgabe, die einen automatischen Neustart nach etwa einer Stunde vornimmt, wie die Sicherheitsfirma F-Secure schreibt.

Wer infiziert wurde, kann den Rechner herunterfahren, über einen USB-Stick ein Live-Betriebssystem starten und alle Dateien sichern. Unklar ist derzeit, ob eine früher veröffentlichte Methode zur Entschlüsselung auch bei aktuellen Petya-Opfern hilft.

Erneut wurden vor allem Firmen und Ministerien infiziert, da diese häufiger aus Kompatibilitätsgründen alte Softwareversionen weiter benutzen. Neben der Containerlinie Maersk und dem Ölkozern Rosneft sind auch die ukrainische Zentralbank und das Krisen-AKW Tschernobyl infiziert. Messdaten werden derzeit nicht mehr über ein computergestütztes System erhoben, auch die Webseite des stillgelegten AKW war zwischenzeitlich offline.

Effizienter IT-Support durch unser technisches Backoffice

Erhalten Sie effiziente IT-Service durch unser technisches Backoffice – Ihr zuverlässiger IT-Dienstleister für IT-Support, Infrastruktur, Sicherheit und Wartung. Profitieren Sie von unserer technischen Hotline, unseren Lösungen und einer sehr guten Reaktionszeit für minimale Ausfallzeiten und maximale Kundenzufriedenheit.

Netzleiter & Techiota: 2 Partner für IT Service und maßgeschneiderte Web-Lösungen

Die Netzleiter GmbH & Co. KG ist mehr als nur ein etabliertes IT Systemhaus – wir sind Ihr Partner für umfassende IT-Lösungen. Mit der unabhängigen Ausgründung Techiota haben wir unser Profil geschärft und die Schwerpunkte neu definiert, um unser Serviceangebot...

Lithium-Ionen-Akku richtig behandeln: Tipps für maximale Lebensdauer

Erfahren Sie, wie Sie Ihren Lithium-Ionen-Akku richtig behandeln, um seine Lebensdauer zu maximieren. Erfahren Sie, warum die richtige Handhabung wichtig ist und erhalten Sie praktische Tipps zum Aufladen und zur Vermeidung von Überhitzung.

Passwortmanager für Unternehmen: Pleasant Password-Server 2023

Erfahren Sie, warum die Verwendung eines Passwortmanagers unerlässlich ist und wie dieser Ihre Passwortsicherheit verbessern kann. Lesen Sie unseren Artikel von Netzleiter und entdecken Sie, wie Sie durch die Verwendung von sicheren Passwörtern, Master-Passwort und Datenverschlüsselung Ihr Unternehmen vor unbefugtem Zugriff schützen können. Pleasant Passwortmanager mit Netzleiter

Cybersicherheit: EU verpflichtet Unternehmen zu höherem Schutz vor Cyberangriffen

Cybersicherheit ist ein wichtiger Faktor im digitalen Zeitalter. Als IT-Dienstleister bietet Netzleiter umfassende Lösungen und Dienstleistungen für Unternehmen und Organisationen, um ihre Daten und Systeme sicher zu schützen. Unser Team verfügt über fundierte Fachkenntnisse und jahrelange Erfahrung im Bereich der Cybersicherheit, um Ihnen ein Höchstmaß an Schutz und Sicherheit zu bieten. Kontaktieren Sie uns noch heute, um mehr darüber zu erfahren, wie wir Ihnen helfen können, Ihre Cybersicherheit zu verbessern.

Candis: Die digitale Rechnungserfassung und Freigabe für Unternehmen

Candis revolutioniert die Buchhaltung für Unternehmen. Mit der digitalen Rechnungsfreigabe, OCR-Erkennung und automatischem Import wird die Buchhaltung einfach, schlank und effektiv. Netzleiter, Ihr Experte für Digitalisierung, unterstützt Sie bei der Umsetzung.

iPhone fragt nach 6-stelligen Kennwort, den ich nie eingestellt habe? So geht’s

Ihr iPhone fragt nach 6-stelligen Kennwort? Diesen Passcode haben Sie nie eingestellt ? Geraten Sie nicht in Panik! Ihr iPhone hat den Code einfach um die letzte Ziffer um zwei Ziffer verlängert.

Qualifizierte elektronische Signatur (QES): Ihr Einstieg in die digitale Signatur

Die qualifizierte elektronische Signatur ist in der EU-Verordnung eIDAS beschrieben. Wir beraten Sie gerne zu diesem Thema. Nutzen Sie auch die Möglichkeit einer staatlichen Förderung um die digitalen Signaturen in Unternehmen einzuführen.

Passwörter der Zukunft

Ein Passwortmanager ist ein Tool, das es ermöglicht, alle Passwörter sicher an einem Ort zu speichern und mit einem Master-Passwort auf sie zuzugreifen. Apple, Microsoft und Google haben neue Standards für Passwörter eingeführt, um die Sicherheit zu verbessern, wie Face ID, Touch ID, „passwordless phone sign-in“ und Google-Kontoschlüssel. Der FIDO Standard soll die Passwortverwendung reduzieren, indem biometrische Authentifizierung und sichere Hardware-Tokens verwendet werden.

Künstliche Intelligenz nutzen mit OpenAI

Künstliche Intelligenz (KI) kann schnell und präzise Entscheidungen treffen, menschliche Fehler minimieren und Prozesse automatisieren, was Zeit und Ressourcen sparen kann. KI kann auch in komplexen Bereichen wie der Diagnose von Krankheiten oder der Vorhersage von Naturkatastrophen nützlich sein.