Check Point Kommentar zur neuen Ransomware-Attacke

Nach unseren Recherchen handelt es sich um eine neue Variante der Petya-Ransomware, die zuerst im März 2016 entdeckt wurde, die sich weltweit sehr schnell und ähnlich wie WannaCry in den Unter-nehmensnetzwerken verbreitet und IT-Systeme infiziert.

Ausgangspunkt war die Ukraine von der sich die Malware auch nach Europa, in die USA, in den Nahen Osten und nach Asien ausbreitete. Auffällig ist, dass im Gegensatz zu anderen Ransomware-Wellen die neue Schadsoftware auf den infizierten Systemen keine einzelnen Dateien verschlüsselt, sondern gleich die gesamte Festplatte.

Teil der Distribution der Attacke war der Loki Bot. Er nutzt verseuchte RTF-Dokumente, um sich zu verteilen. Nach einer Infektion sucht die Malware nach Credentials auf dem Gerät des Opfers. Der neue Schädling kann andere in der Nähe befindliche Geräte infizieren, ähnlich wie bei WannaCry.

Er scheint präzise andere Systeme scannen zu können, um diese ebenfalls über die Eternal Blue-Schwachstelle zu befallen. Derzeit wird gemutmaßt, dass der Ursprung des Angriffs eine kompromittierte ukrainische Steuerbuchhaltungssoftware mit Namen M.E. Doc war, für die ein Update an die Kunden dieser Softwarefirma verschickt wurde.

Die Lösegeld-Attacke zielt nach unseren Recherchen ins Leere, denn bislang wurden lediglich 10.000 US-Dollar in Bitcoin bezahlt und das einzige E-Mailkonto zur Zahlung des Lösegelds wurde vom E-Mailhosting-Anbieter bereits geschlossen.

Wie kann man sich schützen?
Zunächst ist es wichtig, dass die Updates und Patches von Microsoft ausführt werden. Darüber hinaus sollte sicherheitshalber das SMBv-1 File-Sharing-Protokoll in den Windows Systemen ausgeschaltet werden (Stichwort: Eternal Blue).

Generell sollte man mit entsprechenden Sicherheitstools Infektionen von vornherein verhindern. Dies gelingt zum Beispiel durch das Scannen des Netzwerks auf Bedrohungen, das Abblocken und Herausfiltern von verdächtigen E-Mail-Anhängen und z.B. Makros. Darüber hinaus sollten Mitarbeiter entsprechend über potentielle Risiken informiert und entsprechend geschult werden.

IAVCworld per E-Mail folgen