Frequently Asked Questions: Petya Ransomware-Angriffe

von Trend Micro

Am 27. Juni wurden verschiedene Organisationen in Europa Opfer von Ransomware, die ihre Systeme infizierte, die Master Boot Records (MBR) veränderte und Dateien auf den Systemen verschlüsselte. Es handelt sich um eine Variante der Petya-Ransomware, die Trend Micro als RANSOM_PETYA.SMA erkannte. Sie verbreitete sich schnell und weckt Erinnerungen an die Angriffe durch WannaCry. Lesen Sie auch „A technical analysis of EternalBlue (MS17-010) exploit“. Dennoch könnten noch Fragen offen bleiben.

Handelt es sich wirklich um Petya?

Petya ist eine schon länger vorhandene Ransomware, die zuerst 2016 auftauchte. Sie ist bekannt dafür, dass sie den Master Boot Record (MBR) des Systems überschreibt und Nutzer über einen so genannten Blue Screen of Death (BSoD) aus ihren Maschinen aussperrt. Der Blue Screen wird dafür genutzt, um die Lösegeldnachricht anzuzeigen. Petya wird im Untergrund auch als Ransomware-as-a-Service (RaaS) angeboten und wurde mehrmals verändert sowie rehashed – etwa PetrWrap und GoldenEye. Sie ist ist auch eine Zusammenarbeit mit einer anderen Ransomware-Familie namens Mischa eingegangen. Zu der Zeit wies die Kombo Petya-Mischa einen modularen Ansatz auf, Petya überschrieb den MBR, während Mischa die Dateien verschlüsselte.

Die aktuelle Version von Petya kombiniert diese beiden Fähigkeiten: Nach einer erfolgreichen Infektion des Systems, modifiziert Petya den MBR des Opfersystems und verschlüsselt die Dateien.



Lösegeldnachrichten in Petyas neuesten Angriffen

Lesen Sie dazu auch „Jüngste Spam-Kampagnen in Deutschland“

Nutzen Petya und WannaCry beide EternalBlue?

Ja und nein. Die Ausnutzung der EternalBlue-Schwachstelle ist für Petya eine Reservemethode für den Fall, dass die beiden Hauptangriffsvektoren nicht funktionieren. Dann versucht die Schadsoftware diese Lücke zu nutzen, um das System zu infizieren.

Zu diesen Infizierungsvektoren gehört in erster Linie eine modifizierte Version von PsExec (ein legitimes Systemadministrations-Tool) für die Installation der Ransomware. Falls dies nicht funktioniert, so nutzt Petya die Windows Management Instrumentation Commandline (WMIC) aus, eine weitere legitime Scripting-Schnittstelle, um die Ransomware auf der Maschine auszuführen.

Anders als die aktuelle Petya setzt WannaCry nur auf EternalBlue (MS17-010), die Sicherheitslücke im Windows Server Message Block, um Endpunkte zu infizieren und die Dateien zu verschlüsseln. Lesen Sie dazu „A closer look at WannaCry ransomware’s kill switch and how it can help IT/sysadmins“.

Hat Petya tatsächlich einen Kill Switch?

Ja und nein. Der Kill Switch von WannaCry nutzte eine Domäne, die die Ransomware daran hinderte, ausgeführt zu werden, wenn sie getriggert wurde. Diese Tatsache spielte eine wichtige Rolle bei der Schadensbegrenzung.

Petya hat per se keinen Kill Switch. Doch um die Verschlüsselungsroutine auszuführen, sucht die Schadsoftware nach einer bestimmten Datei im infizierten System, die dann von Petya gespawnt wird. Petya sucht deren Dateinamen im Windows-Verzeichnis. Das bedeutet, dass der gesuchte Dateiname sich ändern kann. Petyas Verschlüsselung nutzt eine modifizierte PsExec, die in der Ransomware als DLLHOST.DAT eingebettet ist. Lesen Sie dazu auch „Take a closer look at SOREBRECT, another ransomware that abuses PsExec“.

Was hat PsExec damit zu tun?

Die Angriffskette von Petya nutzt PsExec, ein legitimes Systemadministrations-Tool, mit dessen Hilfe Systemadministratoren Befehle ausführen oder Executables auf Remote-Systemen laufen lassen. In der aktuellen Version nutzt Petya zwei Komponenten/Executables aus — PSEXEC.exe, in der Ransomware umgenannt in dllhost.exe, wird für den Zugriff auf die Remote-Maschine verwendet, und PSEXESVC.exe wird im System ausgeführt, sobald eine Verbindung/Request von PSEXEC.exe festgelegt ist.

Petya versucht auch, herkömmliche Sicherheitslösungen zu vermeiden und nutzt dafür legitime Tools aus. Das von Trend Micro analysierte Sample ist eine Dynamic-Link Library (DLL), die von einem weiteren legitimen Executable, rundll32.exe, geladen wird. Dieses wird normalerweise ausgeführt und lädt Code in DLLs, die Routinen/Features für eine Reihe von Programmen oder Anwendungen umfassen.

Warum ist PsExec wichtig? PsExec ist wie auch rundll32 legitim und daher häufig auf einer Whitelist und daher für den Missbrauch empfänglich. Lesen Sie auch „Lessons learned from WannaCry ransomware that users and IT/system administrators can apply“.

Wie verbreitet sich Petya?

Diese Version von Petya setzt auf Remote Code-Ausführung mit Hilfe von PSEXEC.exe (umbenannt in DLLHOST.DAT), um sich im lokalen Netzwerk zu verbreiten. Die Variante kann sich auch über den Missbrauch von EternalBlue verbreiten.

Petya legt eine Kopie von sich selbst auf der betroffenen Maschine ab. Dazu nutzt der Schädling DLLHOST.DAT mit bestimmten Parametern und Login-Informationen. Funktioniert dies nicht, so nutzt Petya WMIC.exe, um die Ransomware auszuführen.

Petya hat eine angepasste Version von Mimikatz, ein Penetration Testing Tool, das in die Ransomware eingebettet ist und das Nutzernamen und Passwörter vom betroffenen System extrahiert. Diese gestohlenen Informationen werden auch dafür genutzt, um Petya auf weiteren Maschinen im lokalen Netzwerk zu verbreiten. Lesen Sie auch „Best practices for securing and using system administration utilities like PowerShell“.

Welche Gegenmaßnahmen lassen sich ergreifen?

Petyas vielfache Angriffsvektoren erfordern auch einen Defense-in-Depth-Verteidigungsansatz. Zu den Best Practices u Gegenmaßnahmen, die IT-/Systemadministratoren ergreifen können, gehören die folgenden:

Trend Micro Ransomware-Lösungen

Unternehmen können eine mehrschichtige Verteidigung aufbauen, um das Risiko möglichst gering zu halten.

Auf Endpoint-Ebene kann Trend Micros Smart Protection Suites  über Verhaltensmonitoring, Applikationskontrolle, High-Fidelity Machine Learning und Shielding von Sicherheitslücken die Ausführung von bösartigen Routinen verhindern Die Anti-Ransomware-Funktion erkennt und blockt die Ausführung der Malware.

Trend Micro Deep Discovery Inspector erkennt und blockt Ransomware im Netzwerk und Trend Micro Deep Security™ stoppt sie, bevor sie die Unternehmensserver erreicht.

Für kleine Unternehmen bietet Trend Micro Worry-Free Services Advanced Cloud-basierte Email Gateway-Sicherheit. Der Endpoint-Schutz der Lösung liefert auch Fähigkeiten wie Verhaltens-Monitoring oder Echtzeit-Webreputationsdienste, um Ransomware zu erkennen und zu blocken.

Privatanwender schließlich können sich über Trend Micro Security 10 schützen.

Weitere Informationen finden Sie auf der Petya Ransomware Technical Support Page.

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*