Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.
In eigener Sache: CERT.at sucht Verstärkung
18. Juli 2017

Für unser "Daily Business" suchen wir derzeit 1 Berufsein- oder -umsteiger/in mit ausgeprägtem Interesse an IT-Security, welche/r uns bei den täglich anfallenden Standard-Aufgaben unterstützt.

Details finden sich hier.

Autor: Robert Waldner

Petya Updates #3 - Die Hoffnung auf einen Kill-Switch
27. Juni 2017

Petya lock screen Petya lock screen

Mittlerweile hauefen sich die Kommentare, dass Petya eventl. einen "Kill-Switch" eingebaut hat: Siehe auch https://twitter.com/0xAmit/status/879789734469488642.

Die naechsten Stunden werden sich zeigen, ob das stimmt und genuegend oft bestaetigt werden konnte. Mittlerweile gibt es auch gegenteilige Meinungen: https://twitter.com/hackerfantastic/ hat die Idee aufgegriffen und Einspruch erhoben. Es wird sich zeigen.

Selbst wenn es einen kill-switch gibt, dann klingt das zwar initial nach "Problem geloest, Welt gerettet, auf zu neuen Taten", aber....wer erzeugt nun diese kill-switch Datei auf jedem Windows Rechner weltweit? Ich fang schon mal mit meiner Familie an... 2 milliarden PCs spaeter sind wir dann fertig. Yeah, right.

Update 23:45: es war nur ein Teil-Sieg: https://twitter.com/hackerfantastic/status/879806667197644800 belegt, dass der Kill-Switch nur funktioniert, wenn die DLL "perfc.dll" hiess. Das ist nicht unbedingt der Fall. Schade.

Ich habe meine spaet Abends Pizza auf alle Faelle mal #Petya genannt. Ohne Mittagessen geht nichts mehr um 23:50.

Autor: L. Aaron Kaplan

Petya Ransomware Outbreak #2
27. Juni 2017

Wir haben noch keine wirklich gesicherten Fakten, daher hier nur eine Zusammenfassung der aktuellen Meldungen:

  • die meisten Infektionen scheinen momentan in der Ukraine und Russland stattzufinden
  • es sind aber auch in anderen Ländern Unternehmen (tw. auch grosse) betroffen; auch in Österreich
  • die Malware betrifft nicht nur einzelne Rechner, sondern versucht sich über das Netzwerk in ganzen IT-Landschaften zu verbreiten
  • der Initial-Vektor dürfte Email sein, mit Subjects die auf Bewerbungssschreiben hinweisen
    • wir hören von durchaus gut gemachten, personalisierten Emails in der jeweiligen Landessprache (inkl. Deutsch)
  • Netzwerk-Verbreitung: wir haben Berichte, wonach sich diese Malware dann über mehrere Vektoren versucht, im Netzwerk zu verbreiten, unter anderem
    • psexec
    • WebDAV auf admin$-Shares
    • EternalBlue (das war die auch von "WannaCry" ausgenutzte Lücke)
    • WMIC
  • Encryption
    • es gibt Berichte, wonach die eigentlichen Dateien nur verschlüsselt werden, wenn keine Admin-Rechte erlangt werden können
    • mit Admin-Rechten wird wohl "nur" der MFT verschlüsselt
    • andere wiederum berichten, dass erst der MFT und erst nach Reboot dann die Nutzer-Dateien verschlüsselt werden
    • das bedeutet, dass Reboots die Situation gegebenfalls noch verschlimmern können
    • manche Berichte sprechen von automatischen Reboots nach 1-1,5 Stunden
    • die Verschlüsselung an sich dürfte korrekt implementiert sein, dh. die Chance auf "Dekryptoren" ist gering
  • die Bitcoin-Adresse für Zahlungen ist immer dieselbe: 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX

Zusammengefasst: diese Malware dürfte nichts essentiell Neues ausnutzen, sondern mehrere bekannte Lücken - und auch suboptimale Konfigurationen mit lokalen Admin-Rechten, über mehrere Maschinen hinweg gleiche/gültige (Admin-)Accounts etc. - nutzen.

Wir gehen davon aus, dass morgen mehr und bessere Informationen vorliegen werden.

Autor: Robert Waldner

Petya Ransomware Outbreak
27. Juni 2017

Heute hat es in mehreren Firmen in Europa IT-Ausfälle durch Ransomware gegeben. Dabei dürfte die Ransomware auch ein "lateral movement" innerhalb einer Organisation durchführen, und so ein breitflächige Infektion und damit Verschlüsselung erreichen.

Die Faktenlage zu den genauen Vektoren, sowohl für die initiale Infektion, als auch für die Weiterverbreitung innerhalb des lokalen Netzes, ist noch sehr dünn und widersprüchlich.

Wir werden eine offizielle Warnung verfassen, sobald wir gesicherte Informationen weitergeben können.

Autor: Otmar Lendl

Nächste >>
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Neue Variante von Ransomware/Wurm "Petya"
28. Juni 2017 | Seit ...
Ransomware/Wurm WannaCry
14. Mai 2017 | Seit ...
mehr ...
In eigener Sache: CERT.at sucht Verstärkung
18. Juli 2017 | Für unser ...
Petya Updates #3 - Die Hoffnung auf einen Kill-Switch
27. Juni 2017 | Petya ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2017/7/18 - 15:27:48
Haftungsausschluss