[Warning] Neue Variante von Ransomware/Wurm "Petya"

Robert Waldner waldner at cert.at
Wed Jun 28 12:32:03 CEST 2017 

28. Juni 2017

   Seit gestern, 27. Juni 2017, gibt es eine massive Welle von
   Ransomware-Vorfällen durch eine neue Ransomware, die Ähnlichkeit mit
   den bereits länger bekannten "Petya"/"Pet(r)Wrap" hat.
   Durch das Ausnutzen mehrerer Schwachstellen in Windows-Systemen - für
   die bereits seit längerem Updates zur Verfügung stehen - sowie durch
   veraltete Einstellungen kann die Malware sich im lokalen (Windows-)
   Netzwerk weiterverbreiten.

Beschreibung

   Ransomware (siehe https://cert.at/warnings/specials/20160325.html )
   ist kein neues Phänomen, dieses "Geschäftsmodell" wird schon seit
   Jahren erfolgreich benutzt, um Geld zu erpressen. Die Liste der
   bekannten Ransomware-Varianten ist lang, bekannte Namen sind Locky,
   CryptoLocker, TeslaCrypt, Samsam oder Reveton.

   Computer-Würmer sind auch nichts Neues, darunter versteht man
   Programme, die sich selbstständig weiterverbreiten. Dazu enthalten
   sie eine Komponente, die aktiv nach einer Schwachstelle (oder in
   diesem Fall auch veralteten Einstellungen) in anderen Computern
   sucht und diese ausnutzt, um sich selber dorthin zu kopieren und zu
   starten.
   Beispiele für Würmer sind ILOVEYOU, Code Red, Nimda, SQL Slammer,
   Conficker oder Mirai - und noch recht "frisch": WannaCry (siehe
   https://cert.at/warnings/all/20170513.html ).

   Das "innovative" an dieser Wurm-Ransomware ist, dass sie sich nicht
   exklusiv über eine einzige Schwachstelle weiter verbreitet, sondern
   über mehrere sowie über nicht mehr zeitgemässe
   Konfigurationen/Einstellungen.

Auswirkungen

   Durch die Wurm-Funktionalität kommt es zu deutlich schwereren
   Schadensfällen als im Vergleich zu klassischer Ransomware. Je
   nachdem, welche Rechte die Schadsoftware auf einem betroffenem
   System erlangen kann, unterscheidet sich das Verhalten, was genau
   verschlüsselt wird, im Detail.

Betroffene Systeme

   Durch die Wurm-Funktionalität sind alle Windows-Systeme gefährdet,
   die den MS17-010 Patch aus März/April 2017 noch immer nicht
   eingespielt haben (und auch neu gestartet wurden).

   Weiters sind alle (Windows-) Netzwerke akut gefährdet, die es
   erlauben, dass sich Benutzer mit lokalen Admin-Rechten am System
   anmelden, und auch Netzwerke, die über mehrere (bzw. alle) Maschinen
   hinweg gleiche Admin-Accounts verwenden. Dies ermöglicht es der
   Schadsoftware, sich mit legitimen Methoden im Netzwerk auszubreiten.

Abhilfe

     * Betroffene Systeme abschalten: je nach lokalen Gegebenheiten und
       "Fortschritt" der Schadsoftware kann es sein, dass noch nicht
       alle Daten wirklich verschlüsselt sind, und diese (mit Experten-
       Hilfe) wiederhergestellt werden können.
     * Nicht zahlen. Wir empfehlen generell, bei Ransomware-Angriffen
       nicht zu zahlen, um das Geschäftsmodell der Angreifer nicht noch
       zu unterstützen. Im aktuellen Fall ist auch nach Zahlung keine
       Kontaktaufnahme mit den Angreifern zur Üœbermittlung eines
       Entschlüsselungscodes möglich, da die angegebene Email-Adresse
       bereits gesperrt wurde.
     * Einspielen von MS17-010. Microsoft hat inzwischen auch für ältere
       Systeme (Windows XP, Windows Server 2003) die Patches
       freigegeben. Diese sollten dringend auf allen Systemen
       eingespielt, und diese Systeme dann auch neu gestartet, werden.
     * Generische Ransomware Abwehr. Da der initiale Vektor noch nicht
       bekannt ist, sollte die Abwehrstrategie gegen jegliche
       Infektionen überprüft und nachgeschärft werden. Insbesondere
       aktive (Macros, Scripte, ...) Inhalte in eingehenden Mails
       sollten gefiltert werden. Funktionierende und aktuelle Backups
       sind ein essentieller Teil der Ransomware-Abwehr: Dies ist ein
       guter Anlass, dieses Thema zu überprüfen. Auch eine
       Einschränkung der Ausführung von nicht zentral geprüften und
       freigegebenen Prorgrammen könnte helfen.
     * Abdrehen von SMBv1. Diese alte Version des Filesharing-Protokolls
       sollte nicht mehr aktiv sein. Siehe Microsoft Knowledge Base
       Artikel 2696547.
     * Erreichbarkeit von SMB Servern von aussen verhindern. Windows
       Fileserver sollten nicht aus dem Internet erreichbar sein.
       Eingehende Anfragen auf Port 445 sollten daher von der Firewall
       unterbunden werden.
     * Isolieren von unpatchbaren Systemen. Falls ein Windows-System
       nicht gegen die SMB-Lücke gepatcht werden kann, so muss dieses
       System vom Rest des internen Netzes isoliert werden.
     * Isolieren von Windows-Clients: von Client zu Client ist im
       Normalfall keine Kommunikation notwendig. Microsoft regt auch
       an, anzudenken ob man WMI und File Sharing nicht generell
       abdrehen könnte. Da dies potentiell gravierende Auswirkungen auf
       den normalen IT-Betrieb haben kann, können wir dies nicht
       allgemein empfehlen.
     * Restriktive Benutzer-Rechte: Benutzer sollten nie mit lokalen
       Admin-Rechten ausgestattet sein.
     * Unterschiedliche Admin-Accounts je Client-Rechner: es sollte für
       jeden Client-Rechner einen eigenen lokalen Admin-Account geben.
       Microsoft stellt dazu ein eigenes Tool (LAPS) bereit.
     * "Pass-the-hash"-Mitigation: siehe
       https://www.microsoft.com/passthehash.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, für alle Arten von
   Browser-Plugins (Flash, Java, ...) auf die "Click-to-play"-
   Funktionalitäten von Internet-Browsern zurückzugreifen, sowie
   parallel Firewall-Software aktiv und den Virenschutz aktuell zu
   halten.
     __________________________________________________________________

   Informationsquelle(n):
   * Hinweise von Microsoft (englisch)

https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
   * MS17-010 (englisch)
   https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
   * Artikel bei Heise Security

https://www.heise.de/security/meldung/Rueckkehr-von-Petya-Kryptotrojaner-legt-weltweit-Firmen-und-Behoerden-lahm-3757047.html


-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <https://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20170628/47617e93/attachment.sig>

More information about the Warning mailing list