Land

Security Blog

Neue massive Angriffswelle von auf Basis weiterentwickelter Ransomware NotPetya

[Translate to Österreich:] Trojan.Ransom.Petrwrap

Das besondere an der letzten großen Ransomware-Kampagne „Wannacry“ war die Kombination eines Verschlüsselungs-Trojaners mit der Fähigkeit sich selbständig in Kommunikationsnetzwerken auszubreiten. Eine Infektion der Systeme war hierdurch nun auch ohne Benutzer-Interaktion möglich. Weil für diese Fähigkeit eine erst kürzlich identifizierte Sicherheitslücke auf Windows-Systemen ausgenutzt wurde, waren hier viele Systeme noch nicht mit Updates versehen und somit anfällig. Der ausgenützte Exploit selbst stammte dabei aus dem offen gelegten Cyberarsenal der NSA und war als „EthernalBlue“ bereits seit einigen Wochen bekannt.

Nun ist seit gestern, Dienstagnachmittag, eine weitere, wieder verbesserte Version einer solchen neuartigen Ransomware aufgetaucht und verbreitet sich primär von Russland und Ukraine aus und ist bereits in Zentraleuropa angekommen. Die neue Kombination basiert auf einer weiterentwickelnden Version von Ransomware namens „Petya“ – wegen massiver Anpassungen wird diese nun aber als „NotPetya“ bezeichnet. Es werden wieder zwei bekannte Sicherheitslücken aus der NSA-Werkzeugkiste ausgenutzt. Zusätzlich zu der Lücke „EthernalBlue“ wird diesmal auch eine Routine namens „EthernalRomance“ angewandt – auch hier wären bereits seit März Updates zur Behebung dieser Bugs verfügbar.

Die Wirkungsweise der Fortpflanzung ist hier nun jedoch deutlich raffinierter und aggressiver: Die Wurm-Routine des Schädlings versucht hier von infizierten Systemen die lokalen Admin-Passwörter auszulesen und diese für die Weiterverbreitung anzuwenden. Es reicht somit ein einziges verwundbares System, um danach auch viele andere, eigentlich sichere Systeme, zu infizieren. Durch den Administratorzugang spielt es keine Rolle mehr ob diese anderen Systeme nun aktuelle Updates verwenden oder auch nicht. Zusammengefasst reicht ein infizierter Computer im lokalen Netzwerk, welcher mit globalen gültigen Administrator Anmeldeinformationen ausgestattet ist, um hier eine neue Ausbreitung auf alle Rechner in einer Umgebung auszulösen.

Der restliche Teil der Infektion ist dem bekannten sehr ähnlich – mit dem Unterschied das der Rechner jedoch vollkommen unbrauchbar gemacht wird. Zuerst wird ca. 30-40 Minuten gewartet – wahrscheinlich um andere Rechner in der Zwischenzeit zu kapern – danach wird begonnen die Festplatte zu verschlüsseln. Das System wird danach neu gestartet, ist aber nun nicht mehr funktionsfähig und weist lediglich auf eine Zahlungsaufforderung hin. Die Verschlüsselung selbst scheint nicht wieder rückgängig machbar zu sein.

Auch eine Lösegeldzahlung ist inzwischen nicht mehr möglich, da hier das angegebene E-Mail-Konto bereits vom Provider deaktiviert wurde.

Abhilfe:

  • Betroffene Systeme abschalten: je nach lokalen Gegebenheiten und "Fortschritt" der Schadsoftware kann es sein, dass noch nicht alle Daten wirklich verschlüsselt sind, und diese (mit Experten-Hilfe) wiederhergestellt werden können.
  • Nicht zahlen. Wir empfehlen generell, bei Ransomware-Angriffen nicht zu zahlen, um das Geschäftsmodell der Angreifer nicht noch zu unterstützen. Im aktuellen Fall ist auch nach Zahlung keine Kontaktaufnahme mit den Angreifern zur Übermittlung eines Entschlüsselungscodes möglich, da die angegebene Email-Adresse bereits gesperrt wurde.
  • Einspielen von MS17-010. Microsoft hat inzwischen auch für ältere Systeme (Windows XP, Windows Server 2003) die Patches freigegeben. Diese sollten dringend auf allen Systemen eingespielt, und diese Systeme dann auch neu gestartet, werden.
  • Generische Ransomware Abwehr. Da der initiale Vektor noch nicht bekannt ist, sollte die Abwehrstrategie gegen jegliche Infektionen überprüft und nachgeschärft werden. Insbesondere aktive (Macros, Scripte, ...) Inhalte in eingehenden Mails sollten gefiltert werden. Funktionierende und aktuelle Backups sind ein essentieller Teil der Ransomware-Abwehr: Dies ist ein guter Anlass, dieses Thema zu überprüfen. Auch eine Einschränkung der Ausführung von nicht zentral geprüften und freigegebenen Prorgrammen könnte helfen.
  • Abdrehen von SMBv1. Diese alte Version des Filesharing-Protokolls sollte nicht mehr aktiv sein. Siehe Microsoft Knowledge Base Artikel 2696547.
  • Erreichbarkeit von SMB Servern von aussen verhindern. Windows Fileserver sollten nicht aus dem Internet erreichbar sein. Eingehende Anfragen auf Port 445 sollten daher von der Firewall unterbunden werden.
  • Isolieren von unpatchbaren Systemen. Falls ein Windows-System nicht gegen die SMB-Lücke gepatcht werden kann, so muss dieses System vom Rest des internen Netzes isoliert werden.
  • Isolieren von Windows-Clients: von Client zu Client ist im Normalfall keine Kommunikation notwendig. Microsoft regt auch an, anzudenken ob man WMI und File Sharing nicht generell abdrehen könnte. Da dies potentiell gravierende Auswirkungen auf den normalen IT-Betrieb haben kann, können wir dies nicht allgemein empfehlen.
  • Restriktive Benutzer-Rechte: Benutzer sollten nie mit lokalen Admin-Rechten ausgestattet sein.
  • Unterschiedliche Admin-Accounts je Client-Rechner: es sollte für jeden Client-Rechner einen eigenen lokalen Admin-Account geben. Microsoft stellt dazu ein eigenes Tool (LAPS) bereit.
  • "Pass-the-hash"-Mitigation: siehe https://www.microsoft.com/passthehash.