Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

Petya Ransomware Outbreak #2

27. Juni 2017

Wir haben noch keine wirklich gesicherten Fakten, daher hier nur eine Zusammenfassung der aktuellen Meldungen:

  • die meisten Infektionen scheinen momentan in der Ukraine und Russland stattzufinden
  • es sind aber auch in anderen Ländern Unternehmen (tw. auch grosse) betroffen; auch in Österreich
  • die Malware betrifft nicht nur einzelne Rechner, sondern versucht sich über das Netzwerk in ganzen IT-Landschaften zu verbreiten
  • der Initial-Vektor dürfte Email sein, mit Subjects die auf Bewerbungssschreiben hinweisen
    • wir hören von durchaus gut gemachten, personalisierten Emails in der jeweiligen Landessprache (inkl. Deutsch)
  • Netzwerk-Verbreitung: wir haben Berichte, wonach sich diese Malware dann über mehrere Vektoren versucht, im Netzwerk zu verbreiten, unter anderem
    • psexec
    • WebDAV auf admin$-Shares
    • EternalBlue (das war die auch von "WannaCry" ausgenutzte Lücke)
    • WMIC
  • Encryption
    • es gibt Berichte, wonach die eigentlichen Dateien nur verschlüsselt werden, wenn keine Admin-Rechte erlangt werden können
    • mit Admin-Rechten wird wohl "nur" der MFT verschlüsselt
    • andere wiederum berichten, dass erst der MFT und erst nach Reboot dann die Nutzer-Dateien verschlüsselt werden
    • das bedeutet, dass Reboots die Situation gegebenfalls noch verschlimmern können
    • manche Berichte sprechen von automatischen Reboots nach 1-1,5 Stunden
    • die Verschlüsselung an sich dürfte korrekt implementiert sein, dh. die Chance auf "Dekryptoren" ist gering
  • die Bitcoin-Adresse für Zahlungen ist immer dieselbe: 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX

Zusammengefasst: diese Malware dürfte nichts essentiell Neues ausnutzen, sondern mehrere bekannte Lücken - und auch suboptimale Konfigurationen mit lokalen Admin-Rechten, über mehrere Maschinen hinweg gleiche/gültige (Admin-)Accounts etc. - nutzen.

Wir gehen davon aus, dass morgen mehr und bessere Informationen vorliegen werden.

Autor: Robert Waldner

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Neue Variante von Ransomware/Wurm "Petya"
28. Juni 2017 | Seit ...
Ransomware/Wurm WannaCry
14. Mai 2017 | Seit ...
mehr ...
In eigener Sache: CERT.at sucht Verstärkung
18. Juli 2017 | Für unser ...
Petya Updates #3 - Die Hoffnung auf einen Kill-Switch
27. Juni 2017 | Petya ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2017/6/27 - 18:52:33
Haftungsausschluss