Petya Ransomware

Kurz nach WannaCry schlich sich eine neue Ransomware-Variante namens Petya überall auf der Welt in Systeme ein. Unterschiedlichste Branchen und Unternehmen waren davon betroffen – auch kritische Infrastrukturen wie die Energieversorgung, das Bankwesen oder Transportsysteme. Aus Sicht von FortiGuard Labs handelt es sich bei Petya jedoch nicht nur um eine weitere Ransomware-Variante. Tatsächlich haben wir es mit einer neuen Welle von Ransomware-Attacken mit mehreren Angriffsvektoren zu tun, die wir bei Fortinet als „Ransomworm“ bezeichnen und bei der mehrere Exploits zeitlich koordiniert erfolgen. Ein solcher Ransomworm kann sich schnell von selbst auf mehreren Systemen ausbreiten und den Speicherort wechseln – alles ohne menschliches Eingreifen.

Zudem konzentriert sich diese Art von Angriff nicht auf ein einziges Unternehmen, sondern ist eher eine Art „Rundumschlag“, dem jedes Gerät mit einer Schwachstelle zum Opfer fallen kann. Zum Beispiel kann ein Angriff mit der Verbreitung eines Excel-Dokuments beginnen, der eine bekannte Sicherheitslücke von Microsoft ausnutzt. Da jedoch zusätzliche Angriffsvektoren im Spiel sind (z. B. über das Windows Management WMIC), lässt sich dieser Ransomworm mit Patching allein nicht stoppen, sondern verlangt nach sehr guten Security-Tools und -Praktiken.

Neuer Ransomworm folgt auf WannaCry Exploits

Neuer Ransomworm folgt auf WannaCry Exploits

Jetzt lesen
Mapping The Ransomware Landscape

Mapping The Ransomware Landscape

Jetzt lesen
Die Folgen von Petya und wie man sich vor Angriffen richtig schützt

Die Folgen von Petya und wie man sich vor Angriffen richtig schützt

Jetzt ansehen

Die Fortinet Security Fabric bietet einen umfassenden Schutz vor dem Petya Ransomworm dank mehrerer integrierter, automatisierter Sicherheitsfunktionen wie Intrusion Detection/Prevention (IPS/IDS), Malware-Schutz (Anti-Virus), Echtzeit-Analyse von verdächtigem Code (FortiSandbox) und dem Austausch von Security-Informationen.

Unternehmen sollten auf jeden Fall sofort den Patch anwenden, den Microsoft dieses Jahr für bekannte Schwachstellen angeboten hat. Besonders gefährdet sind ältere Systeme und kritische Infrastrukturen. Da es sich jedoch um mehrere Angriffsvektoren handelt, sind weitere Sicherheitsmaßnahmen erforderlich. 

Sicherheitsempfehlungen:

Als Schutz vor dieser Art von Malware raten wir zu mehreren Maßnahmen:

IT-Abteilung

  • Machen Sie ein Backup von wichtigen Systemdateien, das Sie offline aufbewahren.
  • Das Betriebssystem und die gesamte Konfiguration sollten auf einem Medium nach dem „Goldstandard“ gespeichert werden, damit Sie sich auf eine sichere Wiederherstellung verlassen können.
  • Führen Sie Patches aus.
  • Überprüfen Sie, ob Sie die aktuellsten Patches haben.

Benutzer

  • Öffnen Sie keine Attachments von unbekannten Quellen.

Security Operations

  • Stellen Sie Signaturen und einen Virenschutz bereit.
  • Verwenden Sie eine Sandbox-Umgebung für Attachments.
  • Nutzen Sie verhaltensbasierte Erkennungen.
  • Achten Sie bei Firewalls auf Hinweise für Command-Control-Server.
  • Arbeiten Sie mit Segmentierungen, um die Verbreitung von Malware zu begrenzen und Backup-Daten zu verschlüsseln.
  • Deaktivieren Sie das Remote-Desktop-Protokoll bzw. stellen Sie eine ordnungsgemäße Authentifizierung fest oder schränken Sie interne Netzwerkzugriffe ein.

Allgemeine Tipps

  • Zahlen Sie nicht, wenn Sie betroffen sind.
  • Informieren Sie vertrauenswürdige Organisationen über die Infektion, um sich bei der Diagnose, Eindämmung und Sanierung von der gesamten Community helfen zu lassen.


Weitere Informationen über Ransomware finden Sie in unserem Petya Central Content Hub.

Mehr Informationen, wie Sie mit den Lösungen von Fortinet Ransomware stoppen können, erhalten Sie bei unseren Enterprise-Lösungen.