Hello again: Ransomware Petya ist in aktualisierter Auflage im Umlauf

Täglich grüßt das Murmeltier: Nachdem WannaCry vor ein paar Wochen für recht viel Unruhe gesorgt hatte, rollt nun die nächste Ransomware-Welle an: Wie auch seinerzeit sind wieder Unternehmen im Fokus der Ransomware “Petna”, die in einigen Grundfunktionen der bekannten Petya-Erpressersoftware stark ähnelt. Auch einige Großunternehmen sowie ein Logistikdienstleister waren diesmal bereits unter den Opfern, so dass so ziemlich jeder Security-Hersteller eine ausserordentliche Warnung veröffentlichte.

Der Erpressertrojaner verbreitet sich über die Update-Server einer weit verbreiteten Buchhaltungs-Software in Osteuropa. Nachdem die Ransomware in das Unternehmen gelangt ist, verbreitet sich Petna im Netzwerk durch den bekannten Exploit namens Eternalblue. Auch der ist noch altbekannt, stammt aus den Beständen des US-Geheimdienst NSA und kam bereits als Basis von WannaCry zum Einsatz. Hierzu werden Administrator-Zugangsdaten gestohlen und für die Verbreitung genutzt. Die Ransomware verschlüsselt das gesamte Dateisystem und kompromittiert den Master Boot Record der Systemfestplatte.

Die aktuelle Variante verfügt, anders als WannaCry, jedoch nicht über einen Not-Aus-Schalter, wie die Security-Experten des Bochumer Herstellers G DATA zu Protokoll gaben. “Die aktuelle Infektionswelle nimmt gezielt Unternehmen ins Fadenkreuz”, erklärt Tim Berghoff, G DATA Security Evangelist. “Nach unserem derzeitigen Erkenntnisstand ist eine in Osteuropa weit verbreitete Buchhaltungssoftware für die Verbreitung der Ransomware Petna verantwortlich. Dadurch sind auch zahlreiche Großunternehmen betroffen, die Geschäftsbeziehungen in die Region haben.”

Bereits WannaCry hat die Befürchtungen bestätigt, dass Kriminelle die Werkzeuge aus dem Arsenal eines Geheimdienstes für kriminelle Zwecke einsetzen. Der Exploit Eternalblue stammt beispielsweise aus den Beständen der NSA und wurde im April von der Hackergruppe “Shadow Brokers” öffentlich gemacht. Er nutzt Schwachstellen im Server Message Block (SMB) der Windows-Betriebssysteme aus, die von Microsoft bereits im März 2017 geschlossen wurden und besonders viele Systeme trafen, die eben nicht ganz aktuell waren.

Laut G DATA ist mittlerweile offenbar geklärt, wie die Infektionswelle ihren Ursprung nahm. Nach dem aktuelle Stand wurde sehr wahrscheinlich der Update-Mechanismus der oben bereits erwähnten Buchhaltungssoftware kompromittiert. Auf diesem Wege wurden die ersten Maschinen über ein Update dieser Software infiziert. Anders als WannaCry verbreitet sich die Ransomware allerdings nicht über das Internet – der genutzte Eternalblue-Exploit wird stattdessen “nur” für die netzwerkinterne Verbreitung der Schadsoftware genutzt und nutzt dabei die “$admin”-Freigabe.

Auch bei der Verschlüsselung selbst gibt es einige altbekannte Merkmale. So prüft die Ransomware unter anderem, ob sie Administratorrechte erlangen kann, um bestimmte Bereiche der Festplatte zu überschreiben. Abhängig davon wird der Rechner entweder zum Absturz gezwungen und neu gestartet oder eben nicht. Wie es derzeit den Anschein hat, funktioniert die Verbreitungskomponente der neuesten Petya-Version unter Windows XP zumindest stabiler als das bei WannaCry der Fall war. Desweiteren löscht Petya in der aktuellen Version bei der Infektion auch die Windows-Eventlogs, so dass eine Nachverfolgung schwierig ist respektive das Windows-Diagnosetool nicht mehr weiterhilft.

 

Ein Kommentar

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*