Wir sind momentan Zeugen der Angriffswelle einer neuen Kryptomalware-Art. Unsere Experten haben sie ExPetr genannt (andere nennen sie Petya, PetrWrap, usw.). Der ausschlaggebende Unterschied dieser neuen Ransomware liegt darin, das die Kriminellen Ihre Ziele viel präziser gewählt haben: Die Opfer sind hauptsächlich Unternehmen und keine Normalverbraucher.
Das Schlimmste: Unter den Opfern dieser Malware befinden sich deutlich mehr kritische Infrastruktureinrichtungen. Aufgrund dieser Attacke wurden zum Beispiel einige Flüge am Flughafen Boryspil (Kiew) mit angeblicher Verspätung angezeigt. Und es kommt noch schlimmer – das berüchtigte Strahlungs-Monitoring-System des Kernkraftwerks in Chernobyl war zeitlich aus demselben Grund außer Betrieb.
Warum sind kritische Infrastruktursysteme immer wieder von Kryptomalware betroffen? Weil sie entweder direkt mit dem Firmennetzwerk verbunden sind oder direkten Zugriff auf das Internet haben.
Was zu tun ist
Genau wie bei WannaCry, gibt es zwei verschiedene Probleme: die erste Penetration der Malware in die Infrastruktur des Unternehmens und die darauffolgende Verbreitung der Ransomware. Diese zwei Probleme sollten separat in Angriff genommen werden.
So dringt die Malware zum ersten Mal ins Netzwerk ein
Unseren Experten zufolge dringt die Malware auf verschiedene Wege in das Netzwerk ein. In einigen Fällen nutzt die Malware bösartige Webseiten (Drive-By-Infektion); User erhielten die Malware verschleiert als Systemupdate. In anderen Fällen wurde die Infektion durch Softwareupdates von Drittanbietern verbreitet. Zum Beispiel durch die ukrainische Buchhaltungssoftware M.E.Doc. In anderen Worten: Es gibt nicht nur einen einzigen vorhersehbaren Einstiegspunkt der Ransomware, der bewacht werden sollte.
Wir haben einige Empfehlungen, um die Malware daran zu hindern in Ihre Infrastruktur einzudringen:
- Weisen Sie Ihre Angestellten dazu an, keine verdächtigen Anhänge oder Links in E-Mails zu öffnen (klingt selbstverständlich, ist es aber nicht);
- Versichern Sie sich, das alle mit dem Internet verbundenen Systeme mit aktualisierten Sicherheitslösungen (mit integrierter Verhaltensanalyse) ausgestattet sind;
- Überprüfen Sie, ob besonders wichtige Komponenten der Sicherheitslösungen aktiviert sind (bei Kaspersky Lab Produkten, stellen Sie sicher, das Kaspersky Security Network und System Watcher aktiviert sind)
- Updaten Sie regelmäßig Ihre Sicherheitslösungen;
- Setzen Sie Controlling-Tools und Kontrollsicherheitslösungen von einer einzigen Administrationskonsole aus ein – erlauben Sie Ihren Angestellten nicht die Einstellungen zu verändern.
Als zusätzliche Schutzmaßnahme (besonders dann, wenn Sie keine Kaspersky Lab-Produkte nutzen) können Sie unser kostenloses Kaspersky Anti-Ransomware-Tool installieren, der mit den meisten Sicherheitslösungen kompatibel ist. (Erfahren Sie mehr)
Verbreitung innerhalb des Netzwerkes
Wenn die Ransomware sich erst einmal in ein einzelnes System eingeschleust hat, kann sich ExPetr viel besser im lokalen Netzwerk weiterverbreiten als WannaCry. Das liegt daran, dass ExPetr über ein breiteres Spektrum an Fähigkeiten für diesen spezifischen Zweck verfügt. Erstens, nutzt es mindestens zwei Exploits: das modifizierte Exploit EternalBlue (das auch bei WannaCry angewandt wurde) und EternalRomance (ein anderes Exploit des TCP Port 445). Zweitens, wenn es ein Systems mit Administrationsrechten infiziert, beginnt die Ransomware sich mithilfe der Windows Management Instrumentation-Technologie oder dem Tool der Remoteaktivierung von PsExec weiterzuverbreiten.
Um die Verbreitung von Malware innerhalb Ihres Netzwerkes zu vermeiden (und besonders innerhalb von kritischen Infrastruktursystemen) sollten Sie:
- Systeme, die eine aktive Internetverbindung in einem separaten Netzwerksegment verlangen, isolieren;
- Das verbleibende Netzwerk in Subnetze oder virtuelle Subnetze mit eingeschränkten Verbindungen aufteilen und nur die Systeme verbinden, die es für technologische Prozesse benötigen;
- Sich über die Empfehlung (beschrieben nach dem WannaCry-Ausbruch) der Kaspersky Lab ICS CERT Experten informieren (speziell für industrielle Unternehmen gedacht);
- Sicherstellen, das wichtige Windows Sicherheitsupdates rechtzeitig installiert werden. Besonders wichtig ist das Update MS17-010, das die Lücken, die von EternalBlue und EternalRomance ausgenutzt werden, schließt;
- Backup-Server vom Rest des Netzwerkes isolieren und den Einsatz der Verbindung zu Remote-Laufwerken auf Backup-Servern vermeiden;
- Die Ausführung der Datei namens <i>perfc.dat</i> mit dem Feature „Kontrolle des Programmstarts“ der Kaspersky Endpoint Security for Business oder dem Windows AppLocker verbieten;
- Für Infrastrukturen, die mehrere eingebettete Systeme enthalten, setzten Sie spezielle Sicherheitslösungen wie Kaspersky Embedded Systems Security ein;
- Aktivieren Sie den Modus „Default Deny“ als zusätzliche Schutzmaßnahme auf Systemen bei denen dies möglich ist; zum Beispiel auf Computern, deren Software nur selten abgeändert wird. Das können Sie mit der Komponente „Kontrolle des Programmstarts“ der Kaspersky Endpoint Security for Business tun.
Wir empfehlen Ihnen grundsätzlich eine vielschichtige Sicherheitslösung mit: automatischen Softwareupdates, Anti-Ransomware-Komponenten und einer Komponente, die alle Prozesse innerhalb des Betriebssystem überwacht. (Erfahren Sie mehr)
Zahlen oder nicht zahlen?
Obwohl wir normalerweise dazu raten, das Lösegeld nicht zu zahlen, verstehen wir, dass einige Unternehmen die Zahlung als einzigen Ausweg sehen. Wenn Ihre Daten bereits von der ExPetr-Ransomware befallen wurden, sollten Sie unter keinen Umständen zahlen.
Unsere Experten haben herausgefunden, dass diese Malware keinen Mechanismus hat, der die Installations-ID speichert. Ohne diese ID kann der Angreifer die für die Entschlüsselung notwendige Information nicht extrahieren. Kurz gesagt: es ist unmöglich die Daten der Opfer wiederherzustellen.
Notfall Petya/ExPetr Webinar
Um Unternehmen im Kampf gegen die Malware ExPetr zu unterstützen, haben unsere Experten ein Notfall-Webinar abgehalten. Juan Andres Guerrero-Saade, Senior Sicherheitsexperte in unserem Global Research and Analysis Team (GReAT) und Matt Suice von Comae Technologies haben die neuesten Informationen über die Bedrohung vorgestellt und erklärt warum es sich bei ExPetr um keine Ransomware sondern um einen Wiper, der zu Sabotagezwecken genutzt wurde, handelt.