Neue Variante von Ransomware/Wurm "Petya"

28. Juni 2017

Seit gestern, 27. Juni 2017, gibt es eine massive Welle von Ransomware-Vorfällen durch eine neue Ransomware, die Ähnlichkeit mit den bereits länger bekannten "Petya"/"Pet(r)Wrap" hat.
Durch das Ausnutzen mehrerer Schwachstellen in Windows-Systemen - für die bereits seit längerem Updates zur Verfügung stehen - sowie durch veraltete Einstellungen kann die Malware sich im lokalen (Windows-) Netzwerk weiterverbreiten.

Beschreibung

Ransomware ist kein neues Phänomen, dieses "Geschäftsmodell" wird schon seit Jahren erfolgreich benutzt, um Geld zu erpressen. Die Liste der bekannten Ransomware-Varianten ist lang, bekannte Namen sind Locky, CryptoLocker, TeslaCrypt, Samsam oder Reveton.

Computer-Würmer sind auch nichts Neues, darunter versteht man Programme, die sich selbstständig weiterverbreiten. Dazu enthalten sie eine Komponente, die aktiv nach einer Schwachstelle (oder in diesem Fall auch veralteten Einstellungen) in anderen Computern sucht und diese ausnutzt, um sich selber dorthin zu kopieren und zu starten. Beispiele für Würmer sind ILOVEYOU, Code Red, Nimda, SQL Slammer, Conficker oder Mirai - und noch recht "frisch": WannaCry.

Das "innovative" an dieser Wurm-Ransomware ist, dass sie sich nicht exklusiv über eine einzige Schwachstelle weiter verbreitet, sondern über mehrere sowie über nicht mehr zeitgemässe Konfigurationen/Einstellungen.

Auswirkungen

Durch die Wurm-Funktionalität kommt es zu deutlich schwereren Schadensfällen als im Vergleich zu klassischer Ransomware. Je nachdem, welche Rechte die Schadsoftware auf einem betroffenem System erlangen kann, unterscheidet sich das Verhalten, was genau verschlüsselt wird, im Detail.

Betroffene Systeme

Durch die Wurm-Funktionalität sind alle Windows-Systeme gefährdet, die den MS17-010 Patch aus März/April 2017 noch immer nicht eingespielt haben (und auch neu gestartet wurden).

Weiters sind alle (Windows-) Netzwerke akut gefährdet, die es erlauben, dass sich Benutzer mit lokalen Admin-Rechten am System anmelden, und auch Netzwerke, die über mehrere (bzw. alle) Maschinen hinweg gleiche Admin-Accounts verwenden. Dies ermöglicht es der Schadsoftware, sich mit legitimen Methoden im Netzwerk auszubreiten.

Abhilfe

  • Betroffene Systeme abschalten: je nach lokalen Gegebenheiten und "Fortschritt" der Schadsoftware kann es sein, dass noch nicht alle Daten wirklich verschlüsselt sind, und diese (mit Experten-Hilfe) wiederhergestellt werden können.
  • Nicht zahlen. Wir empfehlen generell, bei Ransomware-Angriffen nicht zu zahlen, um das Geschäftsmodell der Angreifer nicht noch zu unterstützen. Im aktuellen Fall ist auch nach Zahlung keine Kontaktaufnahme mit den Angreifern zur Übermittlung eines Entschlüsselungscodes möglich, da die angegebene Email-Adresse bereits gesperrt wurde.
  • Einspielen von MS17-010. Microsoft hat inzwischen auch für ältere Systeme (Windows XP, Windows Server 2003) die Patches freigegeben. Diese sollten dringend auf allen Systemen eingespielt, und diese Systeme dann auch neu gestartet, werden.
  • Generische Ransomware Abwehr. Da der initiale Vektor noch nicht bekannt ist, sollte die Abwehrstrategie gegen jegliche Infektionen überprüft und nachgeschärft werden. Insbesondere aktive (Macros, Scripte, ...) Inhalte in eingehenden Mails sollten gefiltert werden. Funktionierende und aktuelle Backups sind ein essentieller Teil der Ransomware-Abwehr: Dies ist ein guter Anlass, dieses Thema zu überprüfen. Auch eine Einschränkung der Ausführung von nicht zentral geprüften und freigegebenen Prorgrammen könnte helfen.
  • Abdrehen von SMBv1. Diese alte Version des Filesharing-Protokolls sollte nicht mehr aktiv sein. Siehe Microsoft Knowledge Base Artikel 2696547.
  • Erreichbarkeit von SMB Servern von aussen verhindern. Windows Fileserver sollten nicht aus dem Internet erreichbar sein. Eingehende Anfragen auf Port 445 sollten daher von der Firewall unterbunden werden.
  • Isolieren von unpatchbaren Systemen. Falls ein Windows-System nicht gegen die SMB-Lücke gepatcht werden kann, so muss dieses System vom Rest des internen Netzes isoliert werden.
  • Isolieren von Windows-Clients: von Client zu Client ist im Normalfall keine Kommunikation notwendig. Microsoft regt auch an, anzudenken ob man WMI und File Sharing nicht generell abdrehen könnte. Da dies potentiell gravierende Auswirkungen auf den normalen IT-Betrieb haben kann, können wir dies nicht allgemein empfehlen.
  • Restriktive Benutzer-Rechte: Benutzer sollten nie mit lokalen Admin-Rechten ausgestattet sein.
  • Unterschiedliche Admin-Accounts je Client-Rechner: es sollte für jeden Client-Rechner einen eigenen lokalen Admin-Account geben. Microsoft stellt dazu ein eigenes Tool (LAPS) bereit.
  • "Pass-the-hash"-Mitigation: siehe https://www.microsoft.com/passthehash.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, für alle Arten von Browser-Plugins (Flash, Java, ...) auf die "Click-to-play"-Funktionalitäten von Internet-Browsern zurückzugreifen, sowie parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Hinweise von Microsoft (englisch)
https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
MS17-010 (englisch)
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
Artikel bei Heise Security
https://www.heise.de/security/meldung/Rueckkehr-von-Petya-Kryptotrojaner-legt-weltweit-Firmen-und-Behoerden-lahm-3757047.html