Seit 27. Juni 2017, gibt es eine massive Welle von

   Ransomware-Vorfällen durch eine neue Ransomware, die Ähnlichkeit mit

   den bereits länger bekannten "Petya"/"Pet(r)Wrap" hat.

   Durch das Ausnutzen mehrerer Schwachstellen in Windows-Systemen - für

   die bereits seit längerem Updates zur Verfügung stehen - sowie durch

   veraltete Einstellungen kann die Malware sich im lokalen (Windows-)

   Netzwerk weiterverbreiten.

Beschreibung

   Ransomware (siehe https://cert.at/warnings/specials/20160325.html )

   ist kein neues Phänomen, dieses "Geschäftsmodell" wird schon seit

   Jahren erfolgreich benutzt, um Geld zu erpressen. Die Liste der

   bekannten Ransomware-Varianten ist lang, bekannte Namen sind Locky,

   CryptoLocker, TeslaCrypt, Samsam oder Reveton.

   Computer-Würmer sind auch nichts Neues, darunter versteht man

   Programme, die sich selbstständig weiterverbreiten. Dazu enthalten

   sie eine Komponente, die aktiv nach einer Schwachstelle (oder in

   diesem Fall auch veralteten Einstellungen) in anderen Computern

   sucht und diese ausnutzt, um sich selber dorthin zu kopieren und zu

   starten.

   Beispiele für Würmer sind ILOVEYOU, Code Red, Nimda, SQL Slammer,

   Conficker oder Mirai - und noch recht "frisch": WannaCry (siehe

   https://cert.at/warnings/all/20170513.html ).

   Das "innovative" an dieser Wurm-Ransomware ist, dass sie sich nicht

   exklusiv über eine einzige Schwachstelle weiter verbreitet, sondern

   über mehrere sowie über nicht mehr zeitgemässe

   Konfigurationen/Einstellungen.

Auswirkungen

   Durch die Wurm-Funktionalität kommt es zu deutlich schwereren

   Schadensfällen als im Vergleich zu klassischer Ransomware. Je

   nachdem, welche Rechte die Schadsoftware auf einem betroffenem

   System erlangen kann, unterscheidet sich das Verhalten, was genau

   verschlüsselt wird, im Detail.

Betroffene Systeme

   Durch die Wurm-Funktionalität sind alle Windows-Systeme gefährdet,

   die den MS17-010 Patch aus März/April 2017 noch immer nicht

   eingespielt haben (und auch neu gestartet wurden).

   Weiters sind alle (Windows-) Netzwerke akut gefährdet, die es

   erlauben, dass sich Benutzer mit lokalen Admin-Rechten am System

   anmelden, und auch Netzwerke, die über mehrere (bzw. alle) Maschinen

   hinweg gleiche Admin-Accounts verwenden. Dies ermöglicht es der

   Schadsoftware, sich mit legitimen Methoden im Netzwerk auszubreiten.

Abhilfe

     * Betroffene Systeme abschalten: je nach lokalen Gegebenheiten und

       "Fortschritt" der Schadsoftware kann es sein, dass noch nicht

       alle Daten wirklich verschlüsselt sind, und diese (mit Experten-

       Hilfe) wiederhergestellt werden können.

     * Nicht zahlen. Wir empfehlen generell, bei Ransomware-Angriffen

       nicht zu zahlen, um das Geschäftsmodell der Angreifer nicht noch

       zu unterstützen. Im aktuellen Fall ist auch nach Zahlung keine

       Kontaktaufnahme mit den Angreifern zur ܜbermittlung eines

       Entschlüsselungscodes möglich, da die angegebene Email-Adresse

       bereits gesperrt wurde.

     * Einspielen von MS17-010. Microsoft hat inzwischen auch für ältere

       Systeme (Windows XP, Windows Server 2003) die Patches

       freigegeben. Diese sollten dringend auf allen Systemen

       eingespielt, und diese Systeme dann auch neu gestartet, werden.

     * Generische Ransomware Abwehr. Da der initiale Vektor noch nicht

       bekannt ist, sollte die Abwehrstrategie gegen jegliche

       Infektionen überprüft und nachgeschärft werden. Insbesondere

       aktive (Macros, Scripte, ...) Inhalte in eingehenden Mails

       sollten gefiltert werden. Funktionierende und aktuelle Backups

       sind ein essentieller Teil der Ransomware-Abwehr: Dies ist ein

       guter Anlass, dieses Thema zu überprüfen. Auch eine

       Einschränkung der Ausführung von nicht zentral geprüften und

       freigegebenen Prorgrammen könnte helfen.

     * Abdrehen von SMBv1. Diese alte Version des Filesharing-Protokolls

       sollte nicht mehr aktiv sein. Siehe Microsoft Knowledge Base

       Artikel 2696547.

     * Erreichbarkeit von SMB Servern von aussen verhindern. Windows

       Fileserver sollten nicht aus dem Internet erreichbar sein.

       Eingehende Anfragen auf Port 445 sollten daher von der Firewall

       unterbunden werden.

     * Isolieren von unpatchbaren Systemen. Falls ein Windows-System

       nicht gegen die SMB-Lücke gepatcht werden kann, so muss dieses

       System vom Rest des internen Netzes isoliert werden.

     * Isolieren von Windows-Clients: von Client zu Client ist im

       Normalfall keine Kommunikation notwendig. Microsoft regt auch

       an, anzudenken ob man WMI und File Sharing nicht generell

       abdrehen könnte. Da dies potentiell gravierende Auswirkungen auf

       den normalen IT-Betrieb haben kann, können wir dies nicht

       allgemein empfehlen.

     * Restriktive Benutzer-Rechte: Benutzer sollten nie mit lokalen

       Admin-Rechten ausgestattet sein.

     * Unterschiedliche Admin-Accounts je Client-Rechner: es sollte für

       jeden Client-Rechner einen eigenen lokalen Admin-Account geben.

       Microsoft stellt dazu ein eigenes Tool (LAPS) bereit.

     * "Pass-the-hash"-Mitigation: siehe

       https://www.microsoft.com/passthehash.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches

   Update"-Features von Software zu nutzen, für alle Arten von

   Browser-Plugins (Flash, Java, ...) auf die "Click-to-play"-

   Funktionalitäten von Internet-Browsern zurückzugreifen, sowie

   parallel Firewall-Software aktiv und den Virenschutz aktuell zu

   halten.

     __________________________________________________________________

   Informationsquelle(n):

   * Hinweise von Microsoft (englisch)

https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

   * MS17-010 (englisch)

   https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

   * Artikel bei Heise Security

https://www.heise.de/security/meldung/Rueckkehr-von-Petya-Kryptotrojaner-legt-weltweit-Firmen-und-Behoerden-lahm-3757047.html

--

// CERT Austria - Robert Waldner <Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!> // http://www.cert.at/