lolloj - Fotolia

Verschlüsselungstrojaner: Weltweite Angriffswelle mit Ransomware Petya

Eine Angriffswelle mit einem Erpressungstrojaner erfolgt offensichtlich im großen Ausmaß. Auch deutsche Unternehmen sollen bereits betroffen sein.

Mehrere Sicherheitsanbieter sowie das BSI berichten von einer massiven, weltweiten Angriffswelle mit einer Ransomware. Das Ausmaß erinnert nicht nur an die WannaCry-Attacke aus dem Mai 2017, es soll auch Ähnlichkeiten bei der Vorgehensweise geben. So würde die Ransomware ebenfalls den bei WannaCry verwendeten EternalBlue-Exploit verwenden. Dabei wird eine Schwachstelle im SMB-Protokoll von Windows ausgenutzt. Für diese Schwachstelle steht bereits seit März ein entsprechender Patch von Microsoft (MS17-10) parat.

Ist ein Rechner im Unternehmen befallen, bewegt sich die Ransomware im Netzwerk seitwärts und befällt weitere Systeme, daher auch das große Ausmaß der Angriffswelle. Wie der Sicherheitsanbieter ESET berichtet, kommt für diese Ausbreitung im Netzwerk das bekannte Tool PsExec zum Einsatz. Es würde ein ungepatchtes System genügen, um ins Netzwerk zu gelangen. Dann kann sich die Malware weiterverbreiten. Die Schadsoftware verschlüsselt entweder die komplette Festplatte auf einmal, oder einzelne Dateien.

Hinsichtlich der Ransomware selbst, sind die Meinungen der Sicherheitsforscher derzeit nicht ganz einhellig. Vielfach wird von einer neuen Variante der Ransomware Petya ausgegangen, Kaspersky Lab spricht aber beispielsweise von einer neuen Schadsoftware, die bislang noch nicht aufgetaucht sei. Nach Berichten mehrerer Sicherheitsanbieter sind insbesondere Organisationen in Russland und der Ukraine am häufigsten betroffen. Es seien aber auch Angriffe in Deutschland registriert worden.

BSI-Präsident Arne Schönbohm: "Nach ersten Erkenntnissen des BSI handelt es sich um eine Angriffswelle mit der Schadsoftware Petya, die unter anderem die gleiche Schwachstelle ausnutzt, die sich auch die Ransomware WannaCry zu Nutzen gemacht hatte. Das Patchen dieser Schwachstelle mit dem seit Monaten verfügbaren Microsoft-Patch hätte in vielen Fällen eine Infektion verhindert. In internen Netzen benutzt Petya zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung und kann damit auch Systeme befallen, die auf aktuellem Patch-Stand sind. Angesichts der akuten Bedrohungslage rufen wir die Wirtschaft erneut dazu auf, die Risiken der Digitalisierung ernst zu nehmen und notwendige Investitionen in die IT-Sicherheit nicht aufzuschieben."

Das BSI rät betroffenen Unternehmen nicht auf Lösegeldforderungen einzugehen. Zudem werden Unternehmen und Institutionen aufgerufen, IT-Sicherheitsvorfälle beim BSI zu melden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Microsoft: WannaCry ist ein Weckruf für alle

Wie man den Risikofaktor Windows SMB in den Griff bekommt

Best Practices: Ransomware verhindern oder eindämmen

Ransomware-Angriffe: Die Kosten für Unternehmen

Erfahren Sie mehr über IT-Sicherheits-Management

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close