- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Petya noch schlimmer als WannaCry


Evolution von Ransomware: Wenn eine ungepatchte Maschine Tausende infizieren kann
WannaCry hat Ransomware auf den nächsten Level gehoben, indem sie einen Wurm-basierten Angriff auf Maschinen über eine bestimmte Sicherheitsanfälligkeit eingeführt hat

- Anzeigen -





Der Ausbruch der Petya-Ransomware ist das jüngste Ereignis in einer Ära der Ransomware, die vor einigen Wochen durch den WannaCry-Ausbruch angeführt wurde. Aber Petya hat die Gefahr noch einmal verschärft, indem es eine Methode nutzt, um eigentlich gepatchte Maschinen zu infizieren. Ransomware war ursprünglich darauf ausgelegt, Tausende von einzelnen Systemen zu infizieren und gegen Bezahlung den Nutzern wieder Zugriff zu gewähren. Die Auswirkungen solcher Ransomware-Kampagnen waren immer eingeschränkt, weil die Verteilungsmethode - Phishing-E-Mails - immer Zeit brauchte, um an Dynamik zu gewinnen.

WannaCry hat Ransomware auf den nächsten Level gehoben, indem sie einen Wurm-basierten Angriff auf Maschinen über eine bestimmte Sicherheitsanfälligkeit eingeführt hat. Der gestrige Petya-Ausbruch baut auf dieser Wurm-basierten, anfälligkeitsabhängigen Technik auf und fügt ein neues Element hinzu, das es ermöglicht, vermeintlich nicht verletzbare Maschinen zu infizieren. Petya macht dies, indem es Anmeldeinformationen von infizierten Maschinen stiehlt und diese verwendet, um vollständig gepatchte Maschinen zu infizieren.

Dieser hybride Ansatz verstärkt den Einfluss des Angriffs drastisch und bedroht die weltweit größten Konzerne mit der Aussicht, dass ihre Arbeitsflüsse unterbrochen werden, wenn eine ungepatchte Maschine weitere Tausende infiziert.

Steve Grobman, CTO bei McAfee sagt dazu:
"Wir glauben, dass die heutigen Vorkommnisse Teil der natürlichen Evolution der Ransomware-Technologie sind, aber auch ein Testlauf für einen viel größeren und ausgeprägteren Angriff in der Zukunft.

WannaCry hob Ransomware auf den nächsten Level, indem er eine Wurm-basierte Infektion auf Maschinen einführte. Ein Wurm ist eine Malware-Technik, bei der ein infizierter Computer versucht, andere Computer zu finden und zu infizieren, die eine bekannte Schwachstelle haben. Wenn Maschinen infiziert werden, dann werden sie Teil des Wurms und "arbeiten" für ihn, um zusätzliche Maschinen zu infizieren. WannaCry nutzte eine Sicherheitsanfälligkeit in Microsoft Windows, zusammen mit einem Exploit, der es ermöglichte, sich nicht nur durch eine Wurmtechnik zu verbreiten, sondern auch Dateien zu verschlüsseln und ein Lösegeld von seinen Opfern zu verlangen.

Das einzigartige Element von Petya ist, dass es auf der Wurm-basierten Technik aufbaut, die WannaCry etabliert hat und ein neues Element hinzugefügt hat, das die Infektion von eigentlich sicheren Maschinen ermöglicht. Es stiehlt Anmeldeinformationen von infizierten Maschinen und verwendet diese, um Maschinen, die auf dem neuesten Sicherheitsstandard sind, zu infizieren. Dieser Hybridansatz verstärkt drastisch den Einfluss und das Ausmaß des Angriffs.

Um sich auf die nächste Generation von Ransomware-Angriffen vorzubereiten, ist es zwingend erforderlich, dass Unternehmen alle Systeme gegen bekannte Schwachstellen absichern, eine sichere Architektur schaffen, die fortschrittliche Cyber-Security-Defense-Technologien nutzt und einen umfassenden Backup-Plan für ihre Organisation einrichtet."

Raj Samani, Head of Strategic Intelligence bei McAfee meint weiter:
"Dieser Ausbruch scheint nicht so groß wie WannaCry zu sein, aber die Zahl der betroffenen Unternehmen ist bedeutsam. Jeder, der Betriebssysteme ausführt, die nicht für die Sicherheitsanfälligkeit gepatched sind und die durch WannaCry bereits genutzt wurden, könnten anfällig für diesen Angriff sein."
(McAfee: ra)

eingetragen: 07.07.17
Home & Newsletterlauf: 18.07.17


McAfee: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Stromausfall durch eine Cyberattacke

    Die Sicherheitsforscher von Eset haben ein neues Malware-Framework enttarnt. Dabei handelt es sich um eine Art Toolsammlung, die aus mehreren Komponenten besteht. Das Framework mit der Bezeichnung GreyEnergy wird höchstwahrscheinlich von der gleichen Gruppe Cyberkrimineller betrieben, die hinter BlackEnergy, Telebots und vermutlich auch NotPeya stecken. Vergangene Woche deckte Eset auf, dass auch die Malware Industroyer auf das Konto von Telebots geht.

  • G Data entdeckt Cybercrime-Hotspot in der Ukraine

    Eine neue Version der GandCrab-Ransomware erregte die Aufmerksamkeit unserer Analysten. Bei genauerem Hinschauen fanden sie Hinweise auf ein ganzes kriminelles Netzwerk in der Ukraine. Bei der Analyse einer neuen Version der GandCrab-Ransomware haben G Data-Sicherheitsforscher ein ganzes Netzwerk krimineller Aktivitäten entdeckt, die aus einem zusammenhängenden IP-Bereich aus der Ukraine heraus betrieben werden. Die vermutlich unter falscher Adresse registrierten IP-Adressen zeigen Hinweise auf illegales Cryptojacking, Phishing-Seiten und Dating-Portale. Zuletzt wurde GandCrab in Version 4 gegen Personalabteilungen eingesetzt. Ransomware wird in Untergrundforen an Kriminelle verkauft oder vermietet. Das ist wohl auch im Falle von GandCrab v5 so. Allerdings will die Person hinter der IP-Adresse sich offenbar nicht auf nur eine kriminelle Aktivität verlassen, um Einnahmen zu generieren.

  • Trojaner-App extrem gefährlich

    Manche Entwickler mobiler Anwendungen meiden die traditionellen App-Stores. Das kommt Cyber-Kriminellen sehr entgegen, wie der neue Trojaner GPlayed beispielhaft zeigt. Diese als App getarnte Malware verwendet ein Symbol, das dem Logo des Google Play Store zum Verwechseln ähnlich sieht. Zudem nutzt sie den Namen "Google Play Marketplace", um sich zu tarnen. Was diese Malware unberechenbar macht, ist die Fähigkeit, sich nach der Bereitstellung zu verändern. Dazu hat der Entwickler die Möglichkeit eingerichtet, aus der Ferne Plugins zu laden, Skripte einzuspeisen und sogar einen neuen ausführbaren .NET-Code zu generieren.

  • Neue Backdoor-Variante

    Der aktuelle BSI Lagebericht verdeutlicht, dass Cyber-Angriffe an der Tagesordnung sind. Immer stärker in den Fokus rücken dabei Infrastrukturanbieter. Bereits im vergangenen Jahr war es Angreifern gelungen, in der Ukraine mit dem Schadprogramm Industroyer und Blackenergy Energieversoger und Kraftwerke anzugreifen. Das Resultat: In Teilen der Ukraine brach die Stromversorgung für mehrere Stunden komplett zusammen. Neueste Eset Analysen zeigen, dass diese Cybercrime-Gruppierung jetzt mit den Online-Kriminellen zusammenarbeitet, die für die Entwicklung von Wannacry und NotPetya verantwortlich waren. Das daraus resultierende Cyber-Attacker Know-how hebt das Gefahrenpotential für KRITIS-Betreiber auf ein vollkommen neues Niveau. Deutschland und andere europäische Staaten könnten nach Einschätzung von Eset zukünftig stärker als bisher in den Fokus von Cyber-Terroristen geraten.

  • Wandlungsfähigkeit & Experimentierfreude

    Es gibt eine neue Entwicklung bei der Verbreitung der Malware ,KopiLuwak' des russischsprachigen Bedrohungsakteurs Turla (auch bekannt als Snake oder Uroburos): Experten von Kaspersky Lab berichten, dass das Schadprogramm einen nahezu identischen Code nutzt, der erst vor einem Monat im Zuge der Zebrocy-Operation, als Teilgruppe von Sofacy (ebenfalls russischsprachig, auch bekannt als Fancy Bear und ATP28), verwendet wurde. Die Kaspersky-Analyse über vier derzeit aktive Turla-Cluster zeigt zudem, dass es bei Sofacy und Turla Überschneidungen der anvisierten Ziele gab: geopolitische Hotspots in Zentralasien sowie sensible Regierungs- und Militäreinheiten. KopiLuwak (benannt nach einer seltenen Kaffeesorte) wurde erstmalig im November 2016 entdeckt und verbreitet Dokumente mit Malware und aktivierten Makros, die neue, schwer analysierbare Javascript-Malware hinterlassen, über die die Angreifer bei den anvisierten Opfern System- und Netzwerkaufklärung betreiben konnten.