Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.
Petya Ransomware Outbreak #2
27. Juni 2017

Wir haben noch keine wirklich gesicherten Fakten, daher hier nur eine Zusammenfassung der aktuellen Meldungen:

  • die meisten Infektionen scheinen momentan in der Ukraine und Russland stattzufinden
  • es sind aber auch in anderen Ländern Unternehmen (tw. auch grosse) betroffen; auch in Österreich
  • die Malware betrifft nicht nur einzelne Rechner, sondern versucht sich über das Netzwerk in ganzen IT-Landschaften zu verbreiten
  • der Initial-Vektor dürfte Email sein, mit Subjects die auf Bewerbungssschreiben hinweisen
    • wir hören von durchaus gut gemachten, personalisierten Emails in der jeweiligen Landessprache (inkl. Deutsch)
  • Netzwerk-Verbreitung: wir haben Berichte, wonach sich diese Malware dann über mehrere Vektoren versucht, im Netzwerk zu verbreiten, unter anderem
    • psexec
    • WebDAV auf admin$-Shares
    • EternalBlue (das war die auch von "WannaCry" ausgenutzte Lücke)
    • WMIC
  • Encryption
    • es gibt Berichte, wonach die eigentlichen Dateien nur verschlüsselt werden, wenn keine Admin-Rechte erlangt werden können
    • mit Admin-Rechten wird wohl "nur" der MFT verschlüsselt
    • andere wiederum berichten, dass erst der MFT und erst nach Reboot dann die Nutzer-Dateien verschlüsselt werden
    • das bedeutet, dass Reboots die Situation gegebenfalls noch verschlimmern können
    • manche Berichte sprechen von automatischen Reboots nach 1-1,5 Stunden
    • die Verschlüsselung an sich dürfte korrekt implementiert sein, dh. die Chance auf "Dekryptoren" ist gering
  • die Bitcoin-Adresse für Zahlungen ist immer dieselbe: 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX

Zusammengefasst: diese Malware dürfte nichts essentiell Neues ausnutzen, sondern mehrere bekannte Lücken - und auch suboptimale Konfigurationen mit lokalen Admin-Rechten, über mehrere Maschinen hinweg gleiche/gültige (Admin-)Accounts etc. - nutzen.

Wir gehen davon aus, dass morgen mehr und bessere Informationen vorliegen werden.

Autor: Robert Waldner

Petya Ransomware Outbreak
27. Juni 2017

Heute hat es in mehreren Firmen in Europa IT-Ausfälle durch Ransomware gegeben. Dabei dürfte die Ransomware auch ein "lateral movement" innerhalb einer Organisation durchführen, und so ein breitflächige Infektion und damit Verschlüsselung erreichen.

Die Faktenlage zu den genauen Vektoren, sowohl für die initiale Infektion, als auch für die Weiterverbreitung innerhalb des lokalen Netzes, ist noch sehr dünn und widersprüchlich.

Wir werden eine offizielle Warnung verfassen, sobald wir gesicherte Informationen weitergeben können.

Autor: Otmar Lendl

In eigener Sache: Umstellung der Tageszusammenfassungen
19. Juni 2017

In der Woche vom 3.-7. 7. 2017 werden wir das Format unserer Tageszusammenfassungen anpassen. Inhaltlich bleibt alles wie gewohnt, wir werden aber der besseren Übersichtlichkeit halber den Inhalt in mehrere Sektionen unterteilen. Damit sollte es einfacher werden, den jeweils gewünschten Content schnell zu finden.

Wobei, eine inhaltliche Änderung wird es doch geben: der Titel wird nicht mehr "End-of-Shift report" sondern "End-of-Day report" lauten. Wir gehen davon aus, dass dies kein gravierendes Problem darstellen wird...

Autor: Robert Waldner

In eigener Sache: Umstellung auf wöchentliches Wartungsfenster
9. Juni 2017

Um die Administration zu erleichtern, werden wir ab 22. 6. 2017 auf ein wöchentliches Wartungsfenster umstellen: dieses wird jeweils am Donnerstag von 19-22h sein. Falls also notwendige Wartungsarbeiten anstehen, die in diesem Zeitraum durchgeführt werden können, werden wir dies nicht mehr extra ankündigen.

Es gehen dabei keine Daten verloren, es kann jedoch in manchen Bereichen zu entsprechend kurzen Verzögerungen (zB bei automatisierten Emails) bzw. Unterbrechungen (zB Datenfeeds) kommen. Da das Wartungsfenster ausserhalb unserer regulären Service-Zeiten (im Wesentlichen Mo-Fr 8-18h, siehe auch https://cert.at/about/contact/contact.html) liegt, ändert sich bei der Bearbeitung "normaler" Vorfälle dadurch nichts.

Warungsarbeiten ausserhalb dieses Zeitfensters, wie auch grössere/längere Unterbrechungen, werden wir natürlich wie gewohnt jeweils möglichst frühzeitig ankündigen.

Autor: Robert Waldner

<< Vorige Nächste >>
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Schwerwiegende Sicherheitsprobleme in Systemen mit aktuellen Intel-Prozessoren
21. November 2017 Beschreibung Wie ...
Kritische Sicherheitslücke in Adobe Flash Player - aktiv ausgenützt - Patches verfügbar
16. Oktober 2017 | Beschreibung Adobe ...
mehr ...
Es steht KRACK auf dem Speiseplan!
16. Oktober 2017 | Auch ...
Ein paar Thesen zu aktuellen Gesetzesentwürfen
31. Juli 2017 | Das Thema ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2017/10/16 - 13:36:15
Haftungsausschluss