Herkunft
Tatsächlich handelt es sich bei „Petya“ beziehungsweise „NotPetya“ um einen alten Bekannten. Denn bereits 2016 hielt die Ransomware die Welt in Atem. Damals verschlüsselte sie den Master Boot Record (MBR) des Computers – und machte das Starten des Rechners auf diese Art und Weise zu einem Ding der Unmöglichkeit. Die neueste Infektionswelle zielt nicht auf Erpressung, sondern auf Chaos und Lahmlegung ganzer Unternehmen. Immer mehr Sicherheitsfirmen verwenden daher den Codenamen „NotPetya“. Nach ersten Informationen kam die Malware über ein Software-Update für die ukrainische Steuerbuchhaltung MeDoc in Umlauf. Den Angreifern gelang die Platzierung ihres schadhaften Programms in ein Software-Update der MeDoc-Entwickler. Aufgrund der Verwendung der Software nicht nur innerhalb, sondern auch außerhalb der Ukraine verbreitete sich die Malware rasend schnell über den gesamten Globus. Prominente Opfer sind Nivea, Mondelēz (u.a. Milka) sowie der Flughafen von Kiew. Allein in der Ukraine erlagen 12.500 Rechner dem Cyberangriff. Laut Tim Berghoff, Security Evangelist bei G Data, nimmt die aktuelle Infektionswelle gezielt Unternehmen ins Fadenkreuz. Abhängig ist die gewählte Verschlüsselungsmethode von den Berechtigungen. Auch versucht sich die Malware wie bereits ihre Vorgängerin an der Überschreibung des MBR – und damit an der Auslösung eines Neustarts des Rechners zur Verhinderung von Gegenmaßnahmen.
Verbreitung
Die neue „Petya“-Variante verbreitet sich durch den Exploit EternalBlue, und zwar über eine bekannte SMB-Lücke in Windows. Genutzt wurde diese bereits von der NSA zu Spionagezwecken. EternalBlue verhalf bereits der Ransomware „WannaCry“ zu rasend schneller Verbreitung auf über 200.000 Windows-Rechnern in aller Welt. Daneben funktioniert „Petya“ laut Experten in Sachen Sicherheit beziehungsweise IT-Security jedoch auch durch den Exploit EternalRomance. Microsoft behob die zugrundeliegenden Schwachstellen für ihre Betriebssysteme, darunter sogar die offiziell gar nicht mehr unterstützten Betriebssysteme Windows XP und Vista, durch das Sicherheits-Update MS17-010 https://technet.microsoft.com/.... Gerade im Falle von Unternehmen empfiehlt sich das Einspielen dieses Patches. Ist dies nicht möglich, empfehlen Experten in Sachen Sicherheit beziehungsweise IT-Security zumindest die Deaktivierung von SMBv1. Befindet sich „Petya“ nämlich einmal im internen Netzwerk, sucht – und findet – die Malware früher oder später die Domain Controller. Auch sammelt sie eine Liste aller Rechner im Netz, die dann gezielt infiziert werden – eine besonders unauffällige, nicht leicht zu erkennende Methode. Daneben kopiert sich der Trojaner gerne in das versteckte ADMIN$-Verzeichnis anderer Rechner. Klappt dies nicht, versucht die Malware sich am Zugriff auf die Windows Management Instrumentation Command-line (WMIC) – und startet sich auf diese Art und Weise auf dem Zielcomputer. Mittels eines Passwort-Dump-Tools erbeutet der Trojaner Windows-Anmeldeinformationen. Als Indikatoren einer Kompromittierung nennen Microsofts Sicherheitsexperten Befehlszeilen für Umgebungen mit Protokollierung. In Netzwerken beobachtet man zudem bestimmte Subnet-Scans in der Umgebung des TCP-Ports 139 und des TCP-Ports 445. Experten von Palo Alto Networks empfehlen daher die Sperrung des TCP-Ports 445.
Gegenmassnahme
Im Idealfall halten Benutzerinnen und Benutzer ihr System immer auf dem neuesten Stand. Auch empfiehlt sich – wie bereits erwähnt – die Deaktivierung von SMBv1. Das Microsoft Malware Protection Center (MMPC) rät Unternehmen außerdem zur Windows Defender Advanced Threat Protection (Windows Defender ATP) als Lösung zur Früherkennung sowie Beseitigung der Malware im Falle einer Kompromittierung. Im Falle von Organisationen empfiehlt sich zum effektiven Ausschluss von Malware auch der Einsatz von Device Guard. Darüber hinaus findet sich eine Vielzahl allgemeiner, doch effektiver Maßnahmen gegen Malware. So beispielsweise das Achten auf schadhafte Spam-Mails: Nicht selten getarnt als E-Mails von Unternehmen oder Einzelpersonen, ist es wichtig, die Ransomware nicht durch Klicken auf Links oder Anhänge freizusetzen. Ebenfalls unerlässlich ist die regelmäßige Installation von Sicherheitsupdates. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät von der Ausführung von Script-Dateien wie JavaScript, VisualBasicScript oder PowerShell-Script ab. Zudem empfehlenswert ist die Entfernung nicht zwingend benötigter Webbrowser Plug-ins wie beispielsweise Adobe Flash. Wird man tatsächlich Opfer einer Erpressung, raten Behörden grundsätzlich zur Verweigerung des Lösegelds. Stattdessen empfiehlt sich die Anzeige bei der Polizei. Zentrale erste Maßnahme ist aber immer das Isolieren befallener Systeme vom Netz – sei es durch Ziehen der Netzwerkstecker oder Abschalten der WLAN-Adapter.
Aktueller Workaround/Batchdatei bezüglich der Ransomware Petya für Ihre IT-Sicherheit:
@echo off
echo Administrative permissions required. Detecting permissions...
echo.
net session >nul 2>&1
if %errorLevel% == 0 (
if exist C:\Windows\perfc (
echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
echo.
) else (
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dll
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dat
attrib +R C:\Windows\perfc
attrib +R C:\Windows\perfc.dll
attrib +R C:\Windows\perfc.dat
echo Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
echo.
)
) else (
echo Failure: You must run this batch file as Administrator.
)
pause
Autor: Manojlo Mitrovic, System Engineer, Bison IT Services AG