Cybersicherheitsvorkehrungen gegen die geschäftskritische NotPetya-Verschlüsselungsmalware ergreifen

Zusammenfassung zur NotPetya-Malware

Am Dienstag, den 27. Juni 2017 traf eine große mehrgleisige Cyberangriffskampagne, ähnlich der WannaCry-Welle, mehrere Unternehmen in erster Linie in Mittel-, Ost- und Südeuropa, primär ukrainische, deutsche und polnische Firmen, während die skandinavischen, westeuropäischen und asiatischen Länder über sehr begrenzte Angriffe berichteten und von der Bedrohung meist nicht betroffen zu sein schienen.

Wie im Falle des WannaCry-Angriffs, zielte die NotPetya-Malware auf große Unternehmen. Unter den bekannten betroffenen Unternehmen waren Maersk, Merck, WPP, DLA Piper, Nuance Communications, Deutsche Post, Metro, Evraz, Rosneft, Mondelez und einige mehr in den USA, in der Ukraine, in Großbritannien, Dänemark, Israel, Norwegen, Frankreich, Deutschland, Indien, den Niederlanden, Polen, Russland, Spanien usw. Es wurden 20.000 Produktionen und Unternehmen in über 60 Ländern erwischt.

Mechanismus des NotPetya-Angriffs

Es gibt Unstimmigkeiten in der Sicherheits-Community in Bezug darauf, ob die neueste Malware-Kampagne eine neue Version aus der Petya.A-Ransomware-Familie war oder eine völlig neue Bedrohung ist. Obwohl viele Ähnlichkeiten mit der ursprünglichen Petya.A-Ransomware-Familie bestehen und Teile des Codes wiederverwendet wurden, wurde die neue Malware ExPetr, Petna und NotPetya genannt, um auf die Unterschiede zu der originalen Petya.A hinzuweisen.

Die einzelnen Elemente des Angriffs sind nicht besonders anspruchsvoll, doch die Kombination von:

• dem Ausnutzen der offenen Schwachstellen,
• den Verbreitungsmechanismen (wenn die Software-Update-Theorie richtig ist),
• mehreren Mechanismen für den seitlichen Angriff sowie
• dem Ausnutzen suboptimal geschützter Endpunkte

machte den Gesamtangriff recht wirkungsvoll und löste Bedenken in Bezug auf den Schutz gegen ähnliche Angriffe aus.

Mechanismus des NotPetya-Angriffs

Die niedrige Qualität des ursprünglichen Petya.A-Codes und ein leicht nachweisbarer Kill-Schalter waren die Gründe, warum der Angriff schnell abgeschwächt werden konnte. Die neueste Entwicklung von „Petya/NotPetya“ erfordert keine Maschinen, die die gleichen Schwachstellen haben, und kann verschiedene Verbreitungsmöglichkeiten nutzen.

Der anfängliche Angriffsvektor ist zum jetzigen Zeitpunkt nicht bestätigt. Der Angriff scheint die gleichen primären NSA-EternalBlue- und DoblePulsar-Lücken auszunutzen, die das Rückgrat der WannaCry-Ransomware-Kampagne Mitte Mai 2017 waren, aber er bringt mehr Verbreitungsmechanismen für ein Netz im Vergleich zu WannaCry mit.

Wie IBM X-Force, Cisco, Kaspersky u.a. berichten, gibt es mehrere Meinungen zum Infektionsszenario:

• Verbreitung
  
  
• Angriffsszenario
  
  

Momentan gibt es keinen bekannten Mechanismus, um verschlüsselte Dateien und Ordner zu entschlüsseln. Unabhängige Forscher haben darüber informiert, dass die Malware den Serviceteil der Dateien verschlüsselt hat und diese Dateien somit unzugänglich und nicht wiederherstellbar gemacht hat. Allerdings haben Microsoft sowie ukrainische und internationale Unternehmen versichert, an den Entschlüsselungstools zu arbeiten.

Cybersicherheitsschutz vor Verschlüsselungsangriffen

Zurzeit glauben wir, dass die anfängliche Angriffswelle vorbei ist und die Gefahr unter Kontrolle ist. Die meisten Unternehmen haben sich schnell von dem Angriff erholt. Sensible Daten war nicht betroffen, da die Malware keine Mittel besaß, die Daten an Dritte zu übertragen. Die Ausrichtung des Angriffs und die Verbreitung der Malware lassen bezweifeln, ob es sich hierbei um einen von einer einzelnen Person schlecht geschriebenen und zu früh freigegebenen Prototyp oder eher um einen fokussierten Sabotage-Angriff handelt, der auf hohem Niveau organisiert war. Laut Microsoft kann dieser Angriff nur die erste Welle gewesen sein, der weitere folgen werden.

Die meisten Ransomware-Familien werden kontinuierlich verfeinert und aktualisiert, und wir müssen damit rechnen, dass sowohl diese spezielle Variante als auch andere Versionen weiterhin signifikante Risikofaktoren in absehbarer Zukunft sein werden. Die Mehrheit der betroffenen Geräte hatte das veraltete Windows 7 drauf, das von Microsoft nicht unterstützt wird und für Unternehmen nicht zu empfehlen ist. Jedem Unternehmen ist nachdrücklich dazu zu raten, den ganzheitlichen Ansatz für die Cybersicherheit umzusetzen.

Infopulse wird die Situation weiterhin überwachen. Unser Unternehmen ergreift alle Maßnahmen, um die eigene Infrastruktur zu schützen und jeglichen negativen zerstörerischen Einfluss auf unsere Kunden zu vermeiden.

Diese Beschreibung wird noch durch die Angaben zu den evtl. bekannt gewordenen Entwicklungen ergänzt, sodass sich die hierin enthaltenen Informationen ändern können.