Mit der Nutzung dieser Webseite akzeptieren Sie unsere Nutzung von Cookies. Weitere Informationen über Cookies finden Sie hier
Zustimmen
Infopulse - Softwareentwicklung & Infrastruktur-Management-Services
Mit der Nutzung dieser Webseite akzeptieren Sie unsere Nutzung von Cookies. Weitere Informationen über Cookies finden Sie hier
Zustimmen
Infopulse - Softwareentwicklung & Infrastruktur-Management-Services
Infopulse - Softwareentwicklung & Infrastruktur-Management-Services
reCAPTCHA
Angebot anfordern Bitte füllen Sie dieses kurze Formular aus und wir senden Ihnen in Kürze ein kostenloses Angebot zu.
* Pflichtfelder
Der Schutz Ihrer Privatsphäre ist uns wichtig. Wir werden Ihre Informationen niemals weitergeben.
Abonnieren Sie unsere Updates Seien Sie unter den Ersten, die exklusive Einblicke in die IT, die Innovationen und Best Practices erhalten.
* Pflichtfelder
Der Schutz Ihrer Privatsphäre ist uns wichtig. Wir werden Ihre Informationen niemals weitergeben.
Subscribe to our Vacancies Please fill in this quick form to be among the first to receive our updates.
* Required fields
Your privacy is important to us. We will never share your data.
Abonnieren Sie unsere Updates Seien Sie unter den Ersten, die exklusive Einblicke in die IT, die Innovationen und Best Practices erhalten.
* Pflichtfelder
Der Schutz Ihrer Privatsphäre ist uns wichtig. Wir werden Ihre Informationen niemals weitergeben.
Photo of Oleg Diachuk Senden Sie eine E-Mail an Oleg Diachuk Bitte füllen Sie dieses kurze Formular aus, um unseren Experten direkt zu kontaktieren.
* Pflichtfelder
Der Schutz Ihrer Privatsphäre ist uns wichtig. Wir werden Ihre Informationen niemals weitergeben.
Infopulse - Expert Software Engineering, Infrastructure Management Services
Read the Full Case Study Don't miss the most interesting part of the story!
Submit this quick form to see the rest and to freely access all case studies on our website.
* Required fields
Der Schutz Ihrer Privatsphäre ist uns wichtig. Wir werden Ihre Informationen niemals weitergeben.

Cybersicherheitsvorkehrungen gegen die geschäftskritische NotPetya-Verschlüsselungsmalware ergreifen

Nach dem jüngsten Ausbruch von Petya-Malware (NotPetya, ExPetr) möchte Infopulse in unserem neuen Blogartikel zur Cybersicherheit unsere Kunden und Partner über die neuesten Erkenntnisse und Analysen in Bezug auf den massiven Cyberangriff informieren, von dem Unternehmen in Europa und in den USA betroffen waren.

Zusammenfassung zur NotPetya-Malware

Am Dienstag, den 27. Juni 2017 traf eine große mehrgleisige Cyberangriffskampagne, ähnlich der WannaCry-Welle, mehrere Unternehmen in erster Linie in Mittel-, Ost- und Südeuropa, primär ukrainische, deutsche und polnische Firmen, während die skandinavischen, westeuropäischen und asiatischen Länder über sehr begrenzte Angriffe berichteten und von der Bedrohung meist nicht betroffen zu sein schienen.

Wie im Falle des WannaCry-Angriffs, zielte die NotPetya-Malware auf große Unternehmen. Unter den bekannten betroffenen Unternehmen waren Maersk, Merck, WPP, DLA Piper, Nuance Communications, Deutsche Post, Metro, Evraz, Rosneft, Mondelez und einige mehr in den USA, in der Ukraine, in Großbritannien, Dänemark, Israel, Norwegen, Frankreich, Deutschland, Indien, den Niederlanden, Polen, Russland, Spanien usw. Es wurden 20.000 Produktionen und Unternehmen in über 60 Ländern erwischt.

Mechanismus des NotPetya-Angriffs

Es gibt Unstimmigkeiten in der Sicherheits-Community in Bezug darauf, ob die neueste Malware-Kampagne eine neue Version aus der Petya.A-Ransomware-Familie war oder eine völlig neue Bedrohung ist. Obwohl viele Ähnlichkeiten mit der ursprünglichen Petya.A-Ransomware-Familie bestehen und Teile des Codes wiederverwendet wurden, wurde die neue Malware ExPetr, Petna und NotPetya genannt, um auf die Unterschiede zu der originalen Petya.A hinzuweisen.

Die einzelnen Elemente des Angriffs sind nicht besonders anspruchsvoll, doch die Kombination von:

  • dem Ausnutzen der offenen Schwachstellen,
  • den Verbreitungsmechanismen (wenn die Software-Update-Theorie richtig ist),
  • mehreren Mechanismen für den seitlichen Angriff sowie
  • dem Ausnutzen suboptimal geschützter Endpunkte

machte den Gesamtangriff recht wirkungsvoll und löste Bedenken in Bezug auf den Schutz gegen ähnliche Angriffe aus.

Mechanismus des NotPetya-Angriffs

Die niedrige Qualität des ursprünglichen Petya.A-Codes und ein leicht nachweisbarer Kill-Schalter waren die Gründe, warum der Angriff schnell abgeschwächt werden konnte. Die neueste Entwicklung von „Petya/NotPetya“ erfordert keine Maschinen, die die gleichen Schwachstellen haben, und kann verschiedene Verbreitungsmöglichkeiten nutzen.

Der anfängliche Angriffsvektor ist zum jetzigen Zeitpunkt nicht bestätigt. Der Angriff scheint die gleichen primären NSA-EternalBlue- und DoblePulsar-Lücken auszunutzen, die das Rückgrat der WannaCry-Ransomware-Kampagne Mitte Mai 2017 waren, aber er bringt mehr Verbreitungsmechanismen für ein Netz im Vergleich zu WannaCry mit.

Wie IBM X-Force, Cisco, Kaspersky u.a. berichten, gibt es mehrere Meinungen zum Infektionsszenario:

  • Verbreitung
    • Verbreitung über das entwendete Software-Update von M.E.Doc (die ukrainische Steuer- und Dokumenten-Management-Software).
    • Klassischer Phishing-Angriff, der gegen bekannte große Unternehmen der Finanz-, Verkehrs- und Governance-Branche gerichtet war
    • Watering-Hole-Attacke (durch die kompromittierten Medien-Webseiten).
  • Angriffsszenario
    • Nach erfolgreicher Infektion sind der Master Boot Record (MBR) und/oder die ausgewählten Dateien verschlüsselt, und der Benutzer wird aufgefordert, das Äquivalent von $300 in Bitcoins zu bezahlen, damit die Daten entschlüsselt werden. Diejenigen, die das Lösegeld bezahlt haben, haben jedoch keine Entschlüsselungsschlüssel erhalten.
    • Laut Kaspersky Labs könnte die Malware ein Wischer gewesen sein, der die Daten vernichten sollte und hinter dem Ransomware-Angriff versteckt wurde.

Momentan gibt es keinen bekannten Mechanismus, um verschlüsselte Dateien und Ordner zu entschlüsseln. Unabhängige Forscher haben darüber informiert, dass die Malware den Serviceteil der Dateien verschlüsselt hat und diese Dateien somit unzugänglich und nicht wiederherstellbar gemacht hat. Allerdings haben Microsoft sowie ukrainische und internationale Unternehmen versichert, an den Entschlüsselungstools zu arbeiten.

Cybersicherheitsschutz vor Verschlüsselungsangriffen

Zurzeit glauben wir, dass die anfängliche Angriffswelle vorbei ist und die Gefahr unter Kontrolle ist. Die meisten Unternehmen haben sich schnell von dem Angriff erholt. Sensible Daten war nicht betroffen, da die Malware keine Mittel besaß, die Daten an Dritte zu übertragen. Die Ausrichtung des Angriffs und die Verbreitung der Malware lassen bezweifeln, ob es sich hierbei um einen von einer einzelnen Person schlecht geschriebenen und zu früh freigegebenen Prototyp oder eher um einen fokussierten Sabotage-Angriff handelt, der auf hohem Niveau organisiert war. Laut Microsoft kann dieser Angriff nur die erste Welle gewesen sein, der weitere folgen werden.

Die meisten Ransomware-Familien werden kontinuierlich verfeinert und aktualisiert, und wir müssen damit rechnen, dass sowohl diese spezielle Variante als auch andere Versionen weiterhin signifikante Risikofaktoren in absehbarer Zukunft sein werden. Die Mehrheit der betroffenen Geräte hatte das veraltete Windows 7 drauf, das von Microsoft nicht unterstützt wird und für Unternehmen nicht zu empfehlen ist. Jedem Unternehmen ist nachdrücklich dazu zu raten, den ganzheitlichen Ansatz für die Cybersicherheit umzusetzen.

Infopulse wird die Situation weiterhin überwachen. Unser Unternehmen ergreift alle Maßnahmen, um die eigene Infrastruktur zu schützen und jeglichen negativen zerstörerischen Einfluss auf unsere Kunden zu vermeiden.

Diese Beschreibung wird noch durch die Angaben zu den evtl. bekannt gewordenen Entwicklungen ergänzt, sodass sich die hierin enthaltenen Informationen ändern können.