Petya Ransomware: 11 Schritte, die Ihnen jetzt helfen

11 Schritte gegen den Petya-Angriff

Was wir schon wissen und wie wir helfen können

Keyfacts über Petya Ransomware

  • Bei Petrwrap handelt es sich vermeintlich um Ransomware
  • Wahrscheinlich handelt es sich aber um einen „Wiper“
  • Schadsoftware ist wahrscheinlich nur auf Zerstörung aus
Zusammenfassung lesen

Lagebild

Wie Sie wahrscheinlich mitbekommen haben, griff am Dienstag, den 27. Juni, eine Ransomware-Schadsoftware mit der geläufigen Bezeichnung „Petrwrap“ zahlreiche Organisationen weltweit an. Es ist möglich, dass diese Schadsoftware eine Variante der „Petya“-Malware ist, die erstmals im März 2016 auftrat. Andere Analysen zeigen, dass es sich möglicherweise gar nicht um eine klassische Erpressungssoftware handelt, sondern um eine Schadsoftware, die einzig darauf ausgelegt ist, zu zerstören.
Um die Risiken der „Petrwrap“-Ransomware zu mindern, unterstützen wir durch technische und organisatorische Maßnahmen. Mit diesen Informationen zur Schadsoftware, ihrer Verbreitung und zu unseren empfohlenen Gegenmaßnahmen wollen wir Sie auf den aktuellen Stand bringen.

So funktioniert die Schadsoftware

Die „Petrwrap“-Ransomware schädigt bzw. zerstört infizierte Windows-Systeme, indem sie das NTFS-Dateisystem verschlüsselt. Dadurch sind Dateien nicht mehr lesbar. Außerdem ersetzt sie den Master Boot Record (MBR) eines Computers mit einem Code, um in weiterer Folge ein Lösegeld in Höhe von 300 US-Dollar in der Internetwährung Bitcoin zu fordern; zudem startet das System nicht mehr. Die Schadsoftware extrahiert Benutzernamen sowie Kennwörter, die sich auf dem System befinden (beispielsweise von Administratoren, die dort zusätzlich angemeldet sind oder waren) und verbreitet sich damit rasant im lokalen Netzwerk – auch auf Systeme, deren Updates auf dem aktuellen Stand sind. Aktuell gibt es Theorien, dass es sich in Wahrheit nicht um eine klassische Ransomware, sondern einen sogenannten „Wiper“ handelt. Dieser Typ Schadsoftware ist auf Zerstörung aus – eine Bezahlung des Erpressungsgeldes ist zumeist gar nicht möglich.

So verbreitet sie sich

Aktuelle Informationen weisen darauf hin, dass sich die Schadsoftware über eine zuvor kompromittierte ukrainische Steuer-Software und/oder mittels Phishing-E-Mails mit einem Rich Text File (RTF; ähnlich Microsoft Word-Dokumenten) im Anhang verbreitet. Hat die Schadsoftware ein verwundbares „Janus-System“ gefunden, verbreitet sie sich zudem mithilfe des lokalen Netzwerks, indem sie Schwachstellen des Protokolls für den Microsoft Server Message Block (SMB; zum Austausch von Dateien und Ressourcen im Netzwerk entwickelt) ausnutzt. Die gleiche Schwachstelle wurde bereits von „WannaCry“ genutzt.
Zudem kann diese Schadsoftware auch Benutzeranmeldeinformationen (User Credentials) aus infizierten Systemen extrahieren und diese Daten benutzen, um weitere Systeme im lokalen Netzwerk zu infizieren (sog. lateral movement). Das macht sie besonders gefährlich.
Im Gegensatz zu „WannaCry“ gibt es für diese Schadsoftware offenbar keinen globalen „Kill Switch“. Aus diesem Grund besteht auch weiterhin ein sehr hohes Verbreitungsrisiko.

Sofortmaßnahmen

Stellen Sie sicher, dass folgende Kommunikations- und Vorsichtsmaßnahmen eingehalten werden:

  • Prüfen Sie, ob die Software „MeDoc“ (auch bekannt als „M.E.Doc“) in Ihrer Organisation eingesetzt wird. Dies kann der Fall sein, wenn Ihre Organisation geschäftlich in der Ukraine tätig ist.
  • Erinnern Sie alle Benutzer daran, keine E-Mails und insbesondere keine E-Mail-Anhänge von unbekannten Quellen zu öffnen. Gehen Sie besonders vorsichtig mit E-Mails um, die sofortiges Handeln verlangen.
  • Vergewissern Sie sich, dass Ihre Antivirensoftware aktuell ist. AntiVirus-Hersteller geben zurzeit dringende Updates für diese Malware heraus.
  • Aktualisieren Sie Backups Ihrer Daten und überprüfen Sie regelmäßig, ob diese Backups effizient wiederhergestellt werden können.
  • Beobachten Sie Ihre Aktivitäten in Ihren Netzwerken und auf Ihren Systemen. Achten Sie auf Anzeichen für die Aktivität schädlicher Software, auf eine mögliche Datenexfiltration, auf Störungen oder unbefugte Netzwerkverbindungen.
  • Testen Sie den Updatestand und patchen Sie Ihre Windows-Geräte. Stellen Sie vor allem sicher, dass Sie die jeweiligen Updates für die hier ausgenutzte Schwachstellen installiert haben. Z.B. ist dies CVE-2017-0199 (RTF-Schwachstelle), die bereits am 11. April 2017 geschlossen wurde, und CVE-2017-0147 (SMB-Schwachstelle), für die beispielsweise im März 2017 durch Microsoft als MS17-010 Updates bereitgestellt wurden.
  • Führen Sie proaktive Reifegradbestimmungen Ihrer Cybersicherheit und Ihrer Reaktionsfähigkeiten durch. Achten Sie auf eine holistische Betrachtung der Cybersicherheit (organisatorisch und technisch).
  • Prüfen Sie die Verbreitung des bekannten lokalen „Kill Switch“ für „Petrwrap“ auf Ihren Systemen: Wenn Sie eine nur lesbare Datei namens „perfc.dat“ im Verzeichnis „C:\Windows“ erstellen, könnte das die Schadsoftware davon abhalten, sich weiter auszuführen.
  • Deaktivieren Sie den automatischen Neustart nach kritischen Systemfehlern (per Windows-Registry). Dies könnte verhindern, dass die Dateien verschlüsselt werden, nachdem die Schadsoftware den MBR modifiziert hat. Der Neustart ist für die Schadsoftware nötig, um den Verschlüsselungsvorgang zu starten. Es besteht ggf. die Möglichkeit, Daten zu retten, wenn sich der Rechner entsprechend nicht neu startet. Achten Sie aber darauf, dass ein automatischer Neustart evtl. für den Betrieb Ihrer Infrastruktur notwendig sein könnte.
  • Melden Sie als Endnutzer alle potentiell sicherheitsrelevanten Ereignisse bei Ihrem IT-Support!

Sollten Sie im Einzelfall unsicher sein, wenden Sie sich gerne an uns. Unser Cyber Incident Response-Team unterstützt Sie bei der IT-seitigen Reaktion und beim Krisenmanagement.

Weitere Informationen zu Petya und Hilfe für sofortige Gegenmaßnahmen finden Sie in unserem PDF.

29. Juni 2017
Zusammengefasst

»Vieles weist darauf hin, dass die Schadsoftware sich anhand einer Phishing-E-Mail mit einem Rich Text File (RTF) im Anhang verbreitet. Im Umgang mit solchen RTF-Dateien war Microsoft Office anfällig.«

Am Dienstag, den 27. Juni, griff eine Schadsoftware der Petrwrap Ransomware zahlreiche Organisationen an. Es ist möglich, dass diese Schadsoftware eine Variante der Petya Malware ist. Jetzt gilt es, vorsichtig zu sein. Kontrollieren Sie, ob alle Updates installiert sind, schauen Sie nach verdächtigen Mails, aktualisieren Sie Ihre Backups, testen Sie Ihre Systeme auf Schwachstellen und sensibilisieren Sie Ihre Mitarbeiter, auf ungewöhnliche Vorgänge zu achten.

Michael Sauermann Partner, Forensic
Ganzen Artikel lesen

Kommentare

Wie wappnen Sie sich?

*Ihre E-Mail-Adresse wird nicht veröffentlicht

Das könnte Sie auch interessieren

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist. Schließen