Petya: Erste Infektion via Buchhaltungs­software

28. Juni 2017, 09:10
image

Seit gestern Nachmittag hat eine Ransomware tausende von Computern infiziert.

Seit gestern Nachmittag hat eine Ransomware tausende von Computern infiziert. Betroffen sind bisher Unternehmen in verschiedenen europäischen Ländern, Russland und insbesondere in der Ukraine, wo die ersten Infektionen zu beobachten waren. Auch Schweizer Firmen wurden Opfer des Angriffs. Die Werbeplattform Admeira hat auf Twitter bekannt gegeben, vom Cyberangriff betroffen zu sein. Laut Melde- und Analysestelle Informationssicherung (Melani) sind sechs Firmen in der Schweiz betroffen, wie sie auf Anfrage der Nachrichtenagentur 'sda' mitteilt.
Bei der aktuellen Ransomware handelt es sich verschiedenen Security-Forschern zufolge um eine neue Version der bekannten Malware Petya, PetyaWrap genannt. Wie es scheint, gibt es verschiedene Infektionswege. Einer davon ist laut Kaspersky über eine Buchhaltungssoftware aus der Ukraine namens MeDoc. Die Ransomware tarnt sich demnach als Update für diese Software. Laut dem Security-Spezialisten hat der Angriff auf diesem Weg begonnen. Auch Forscher der Security-Abteilung von Cisco, Talos, schreiben, dass "einige Infektionen möglicherweise" über MeDoc-Updates geschahen. Eset wiederum ist sicher, dass der MeDoc-Update-Mechanismus "der Punkt war, von dem diese globale Epedemie begonnen hat".
MeDoc schreibt in einem Blogeintrag, dass das letzte Update von ihnen vom 22. Juni stammt, also fünf Tage vor Beginn der Ransomware-Welle. Somit wird spekuliert, dass MeDoc selbst Opfer eines Angriffs war und die Malware den Update-Prozess ausnutzt, um die Nutzer der Buchhaltungssoftware zu infizieren. Die ukrainische Cyberpolizei hat mitgeteilt, dass am Dienstagvormittag Computer über die automatische Updatefunktion der Software manipuliert worden seien. Darüber hinaus schloss die Polizei auch eine Verbreitung über Phishing-Mails mit enthaltenen Download-Links nicht aus.
Die beiden weiteren Infektionswege sind Exploits, die Schwachstellen in älteren Windows-Systemen ausnutzen. Diese ermöglichen auch die wurmartige Verbreitung der Ransomware. Der Eternal Blue genannte, von der NSA entwickelte Exploit wurde bereits bei der WannaCry-Attacke ausgenutzt. Für die Petya-Attacke wurde der Eternal-Blue-Exploit angepasst. Ist ein PC in einem Netzwerk infiziert, breitet sich die Ransomware auf die anderen verwundbaren Computer im selben Netzwerk aus, schreibt Kaspersky. Die Angreifer verlangen 300 US-Dollar in Bitcoins, um die verschlüsselten Daten wieder freizugeben. Neben Eternal Blue nutzt PetyaWrap einen Exlpoit namens EternalRomance, der ebenfalls von der NSA stamme. Für beide Lücken hat Microsoft bereits im März ein Update bereitgestellt. (kjo)
Update (13:05 Uhr):
Die Zahl der von der Cyber-Attacke betroffenen Schweizer Unternehmen steigt: Melani hat Kenntnis von sieben infizierten Firmen, wie der Nachrichtenagentur 'sda' mitteilte.

Loading

Mehr zum Thema

image

Die Notwendigkeit einer Zero-Trust-Edge-Strategie

Die digitale Transformation hat die Arbeitswelt grundlegend verändert. Neue Technologien erlauben von überall Zugriff auf Geschäftsdaten, was die Angriffsfläche der Unternehmen erheblich vergrössert. Fortinets Zero-Trust-Strategie gewährleistet Unternehmen Sicherheit für Anwender und Geräte.

image

Auch zwei Wochen nach Cyberangriff bleiben Schweizer Sixt-Telefone unerreichbar

Der Autovermieter meldete Anfang Mai, er habe die Sache im Griff. Doch nach wie vor scheinen nicht alle Probleme behoben zu sein.

publiziert am 16.5.2022
image

Cyberangriff auf Luzerner ÖV bleibt ohne grössere Folgen

Die Verkehrsbetriebe sprechen von einem "gezielten Angriff". Der Busverkehr war nicht betroffen, einzig Anzeigetafeln funktionierten nicht wie gewohnt.

publiziert am 16.5.2022
image

DDoS-Attacke auf Eurovision Song Contest wurde abgewehrt

Die italienische Sicherheitsbehörde macht russische Hacker verantwortlich. Bereits vor dem ESC-Final wurden staatliche Websites in Italien attackiert.

publiziert am 16.5.2022