Cybersecurity Attacke: Ransomware Petya





Ransomware

Heul doch: Ransomware-Attacke legt Unternehmen lahm


Petya-Ransomware lässt derzeit Schweizer Unternehmen Tränen in die Augen schiessen. Nach WannaCry vor ein paar Wochen, haben Cyberkriminelle erneut Schweizer Firmen mit Ransomware attackiert. Swisscom Cyber Security-Experten klären auf was dahinter steckt.


Ann-Kristin Koch,




Ransomware – die neuste Attacke

  • Bei der derzeitigen Attacke handelt es sich um einen Virus, der teilweise auf so genannter Petya-Malware basiert. Diese stiehlt die Anmeldedaten der Benutzer und breitet sich selbstständig im Netz aus (psexec/wmic) und kann auch gepatchte Systeme angreifen. Sobald der Virus ein System infiziert hat, modifiziert er das BIOS-Startprogramm, den so genannten Master Boot Record (MBR) und verschlüsselt die Master File Table.
  • Der Virus verbreitet sich auf vielfältige Weise. Er nutzt etwa Software-Schwachstellen aus, verbreitet sich über kompromittierte Websites oder schleicht sich per E-Mail mit Word oder Excel-Anhängen ein. Die Erpresser forderten 300 Dollar in Bitcoin. Absender ist eine Mailadresse beim deutschen Anbieter posteo gewesen. Diese ist mittlerweile gesperrt.
  • Laut Sicherheitsexperten von Kaspersky gab es rund 2000 Angriffe. Swisscom selbst ist nicht betroffen. Bei MELANI sind erste Meldungen von betroffenen Schweizer Firmen eingegangen.

Das empfiehlt Swisscom

Die Gefahr einer Ausbreitung über das Netzwerk mit aktuellem Update-Stand ist gering. Computer, die Updates gemäss den Empfehlungen von Swisscom installiert haben, sind vor der Ausnutzung der Schwachstelle geschützt. Die Malware wurde analysiert und ihre Kommunikations-Kanäle werden im Swisscom Netz blockiert. Die von Swisscom eingesetzten Antiviren-Lösungen erkennen die bisher bekannten Trojaner-Dateien und löschen sie automatisch.


Die grösste verbleibende Gefahr geht von Nutzern aus, die ihre E-Mails mit globalen Administratoren-Rechten bearbeiten, da der Trojaner mit ihren Privilegien auch andere Computer im selben Netzwerk infizieren könnte.






Weiterführende Quellen


  1. Bundesamt für Sicherheit in der Informationstechnik (BSI) Ransomware: Bedrohungslage, Prävention & Reaktion
  2. Heise Security: Rückkehr von Petya – Kryptotrojaner legt weltweit Firmen und Behörden lahm
  3. Kaspersky: Schroedinger’s Pet(ya)
  4. Computer Emergency Response Team (GovCERT) der Schweizer Regierung

Aktuelle Informationen


Möchten Sie aktuelle Informationen und spannende Inhalte zum Thema Security erhalten? Melden Sie sich hier an.




Mehr zum Thema