Petya Logo (Trendmicro.com)

Es hat nur weni­ge Tage gedau­ert, nun ist der Krypto-Trojaner Petya auch bei uns in Deutschland am Start. Wie sei­ne Kollegen Locky und Teslacrypt ver­schlüs­selt Petya das befal­le­ne Gerät, jedoch deut­lich effek­ti­ver.

Infektion via Dropbox

Perfide tarnt sich Petya in einer Email als angeb­li­che Bewerbung. Da die Bewerbungsunterlagen für den Versand zu groß sei­en, sind die­se in einer Dropbox-Freigabe her­un­ter­zu­la­den. Der Link führt kor­rek­ter­wei­se in einen frei­ge­ge­be­nen Dropbox-Ordner mit zwei Dateien. Um den Schein zu wah­ren, ist sogar ein Bewerbungsfoto dabei. Der eigent­li­che Schadcode befin­det sich in einer als Archiv getarn­ten aus­führ­ba­ren EXE-Datei.

Ziel: nicht aus­ge­wähl­te Dateien, son­dern gan­ze Festplatten

Entgegen den bis­he­ri­gen alten Bekannten Locky und Teslacrypt hat es der Krypto-Trojaner Petya, ein­mal aus der Dropbox gela­den und akti­viert, nicht auf aus­ge­wähl­te Datei-Typen abge­se­hen. Stattdessen mani­pu­liert Petya den Master-Boot-Record (MBR) der Festplatte. Der MBR ent­hält rele­van­te Informationen für den Start des Betriebssystems. Laut heise.de erzwingt Petya nach die­ser Manipulation des MBR  einen Neustart des System mit­tels Bluescreen, ent­we­der auto­ma­ti­siert oder manu­ell durch den Benutzer.

Nach dem Neustart wird der Nutzer durch einen ASCII-Totenkopf begrüßt und erhält wei­te­re Informationen über den Sachverhalt des Angriffs sowie der Möglichkeit der Entschlüsselung.

Petya Sreen (Trendmicro)

Windows-Systeme betrof­fen

Petya hat es zur Zeit auf Windows-Systeme abge­se­hen. Da das Tool zur Ausführung erwei­ter­te Berechtigungen benö­tigt, gibt es sich gegen­über der Benutzerkontensteuerung (UAC) als ver­trau­ens­wür­di­ges Programm aus. Der unbe­darf­te User neigt zur Bestätigung der Abfrage.

Tools zur Beseitigung von Petya

Laut heise.de ist die ange­wand­te Verschlüsselungsmethode noch unklar. Neben den Meldungen von TrendMicro und heise.de, die bei­de die Manipulation des MBR beschrei­ben, soll es nach ande­ren Quellen eine kom­plet­te Verschlüsselung des Dateisystems geben.

Sofern das gerät in hek­ti­sche Aktivität ver­fällt, raten heise.de und Trendmicro zur sofor­ti­gen Abschaltung des Geräts. Bereits im Netz kur­sie­ren­de Programme zur Beseitigung von Petya nach Befall soll­ten nicht ein­ge­setzt wer­den. Es ist davon aus­zu­ge­hen, dass die­se im Moment ledig­lich wei­te­ren Schaden anrich­ten.

Aktuell ver­langt Petya 0,99 Bitcoin (ca. 380 Euro) Lösegeld für die Freigabe des Systems.

Man kann es ja gar nicht oft genug sagen in den letz­ten Wochen: Neben all den tech­ni­schen Maßnahmen zur Abwehr oder Vermeidung von Krypto-Trojanern ist die Sensibilisierung der Mitarbeiter eine sehr effek­ti­ve Möglichkeit, das Risiko einer Infektion durch Locky, Teslacrypt und Co zu ver­mei­den. Neusprech heisst dies “Awareness” schaf­fen. Aus die­sem Grund bie­ten wir zusätz­lich zu ein- bis zwei­stün­di­gen Sensibilisierungsveranstaltungen zur aktu­el­len Bedrohungslage und Möglichkeiten für Mitarbeiter vor Ort Handreichungen in Form von DIN A4-Flyern an, die Sie ger­ne (unver­än­dert) in Ihrer Organisation ein­set­zen kön­nen.

Diese Ausgabe behan­delt den Umgang mit Email-Anhängen sowie eine Kurzanleitung zur Beschränkung der Ausführung von Makro-Code in Office-Dokumenten (sofern dies nicht durch die Gruppenrichtlinie nicht bereits unter­drückt wird).

Wir wis­sen, zu dem Thema kann man noch viel mehr sagen / schrei­ben. Doch wir haben uns bewußt für eine kur­ze Darstellung auf einer Seite beschränkt, damit die Akzeptanz zur Kenntnisnahme nicht durch zu gro­ße Längen beein­träch­tigt wird.

Wollen Sie Ihren Mitarbeitern die­sen Flyer zur Sensibilisierung im Umgang mit der Bedrohung durch Krypto-Trojaner durch Email-Anhänge an die Hand geben? Dann laden Sie sich das Dokument doch ein­fach kosten­frei her­un­ter und ver­tei­len es intern.

Flyer / Handout Awareness Anwender Empfehlung Schutz Vor Krypto Trojanern (57.8 KiB, 452 down­loads)

Haben Sie wei­te­re Ideen und Anregungen für Flyer / Sensibilisierungen in die­ser Kurzform? Dann schrei­ben Sie uns. Wir grei­fen das ger­ne für wei­te­re Handouts auf.

Wir wün­schen allen Beteiligten wei­ter­hin bei der Abwehr die­ser Bedrohung viel Erfolg.

Die Ransomware Teslacrypt, ein beson­ders erfolg­rei­cher Krypto-Trojaner der letz­ten Monate, wur­de laut bleepingcomputer.com in der nun vier­ten Generation “Teslacrypt 4.0” gesich­tet. Teslacrypt hat eini­ge Bugfixes und Neuerungen erfah­ren.

Wurden bis­her erkenn­ba­re Datei-Endungen an die ver­schlüs­sel­ten Dateien ange­hängt (wie .aaa .abc oder auch .mp3), wer­den die loka­len und über das Netz erreich­ba­ren Dateien jetzt unter Beibehaltung des Dateinamens ver­schlüs­selt. Von außen sieht also erst mal alles so aus, als wäre nichts pas­siert.

Auch die 4 Gigabyte (GB) Hürde ist gefal­len. Haben bis­he­ri­ge Teslacrypt-Versionen Dateien grö­ßer 4 GB ein­fach kor­rum­piert oder gelöscht, ver­schlüs­selt Teslacrypt 4.0 nun auch die­se.

Nach einer Meldung von heise.de zieht Teslacrypt 4.0 noch mehr gerä­te­spe­zi­fi­sche Merkmale wie DigitalProductID, MachineGuid und SystemBiosDate zur Generierung des indi­vi­du­el­len loka­len Schlüssels her­an.

Teslacrypt 4.0 wird nach Angaben von Heimdal Security zur Zeit haupt­säch­lich via Drive-by-Downloads ver­brei­tet.

Seit Version 3.0 von Teslacrypt gibt es kei­ne funk­tio­nie­ren­den Entschlüsselungstools für befal­le­ne Geräte. Sollte ein Befall mit V 3 oder V 4 vor­lie­gen, blei­ben nur die Hoffnung auf eine aktu­el­le und funk­tio­nie­ren­de Datensicherung für die Wiederherstellung oder der Versuch, mit­tels Lösegeldzahlung in Form von Bitcoins einen funk­ti­ons­fä­hi­gen Schlüssel für die Entschlüsselung zu erhal­ten.

Das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) hat einen Anforderungskatalog Cloud Computing ver­öf­fent­licht:

Es gibt auf dem Markt ver­schie­de­ne Standards und Zertifizierungen, die von vie­len Cloud-Anbietern mit gro­ßem Aufwand par­al­lel genutzt und auf­recht­erhal­ten wer­den. Die Vielzahl an ver­schie­de­nen Zertifizierungen ist für Kunden jedoch schwer zu über­schau­en. Mit die­sem Anforderungskatalog soll den Kunden eine Hilfestellung für einen bes­se­ren Überblick zu mehr Sicherheit gege­ben und Mehrfachprüfungen ver­mie­den wer­den.

Der Katalog ist als PDF ver­füg­bar. Sie kön­nen die­sen hier her­un­ter­la­den.

Der Sicherheitssoftwarehersteller ESET mel­det einen rasan­ten Anstieg der Erkennung der Nemucod-Malware. Diese ist zwar bereits bekannt, jedoch nach wie vor heim­tückisch. Wie bei vie­len ande­ren Angriffen, kommt auch hier die Bedrohung per Email-Anhang ins Haus, Betreff unter ande­rem Rechnung oder auch Gerichtsvorladung. Der schad­haf­te Anhang (oft­mals ein getarn­tes ZIP-Archiv) ent­hält Javascript-Code. Dieser lädt nach Öffnen des Anhangs die Malware Nemucod her­un­ter und star­tet die­se. Nemucod selbst lädt dann bekann­te Vertreter wie Locky und Teslacrypt nach, und akti­viert die­se sogleich. Danach beginnt das übli­che Spiel mit Verschlüsselung und Lösegeldforderung.

Da sich Nemucod über die Adressbücher bereits infi­zier­ter Systeme wei­ter ver­brei­tet, ist daher selbst bei bekann­ten Absendern äußer­ste Vorsicht gebo­ten, wenn Datei-Anhänge per Email in Ihrem Postfach auf­schla­gen.

Unsere Tipps:

  • Email-Anhänge unbe­kann­ter Absender gene­rell nicht öff­nen
  • Email-Anhänge bekann­ter Absender nur mit äußer­ster Vorsicht öff­nen und auch nur, wenn es wirk­lich not­wen­dig ist (im Zweifel: Rufen Sie den Absender doch kurz an, was es mit der Email samt Anhang auf sich hat)
  • Für aus­rei­chen­de Awareness in der Organisation sor­gen (Newsletter, Schulungen etc.)
  • Im Rahmen einer durch­dach­ten Backupstrategie rele­van­te Daten regel­mä­ßig sichern. Wenn mög­lich, Sicherungsmedien ent­fer­nen oder bei Netzsicherung Verbindung unter­bre­chen nach Backup
  • Betriebssystem, Anwendungen und Virenscanner (Server und Client) stets aktu­ell hal­ten.

Seit gerau­mer Zeit besteht auch durch sog. Drive-by-Downloads (Anzeige infi­zier­ter Webseiten im Browser) ein nicht uner­heb­li­ches Risiko, sich eine der aktu­el­len Versionen der Krypto-Trojaner wie Locky oder Teslacrypt zu fan­gen. Doch damit nicht genug, jetzt sind erste infi­zier­te Werbeanzeigen auf­ge­taucht. Diese Anzeigen, die über übli­che Werbenetzwerke ver­brei­tet wer­den, nut­zen aktiv Sicherheitslücken in Plugins wie Flash oder Silverlight aus, um das System des Webseitenbesuchers zu infi­zie­ren. Somit kann auch der Besuch seriö­ser Webseiten zu einer Infektion mit einem Krypto-Trojaner wie Locky oder Teslacrypt füh­ren. Bereits am 16.03.2016 mel­de­ten ame­ri­ka­ni­sche Sicherheitsforscher meh­re­re zehn­tau­send Infektionen durch den Besuch von Seiten wie BBC, MSN oder auch der New York Times. Die Bedrohung über die­se Seiten ist wohl mitt­ler­wei­le gestoppt, den­noch nicht zu Ende.

Unser Tipp:

  • Browser stets aktu­ell hal­ten
  • Plugins wie Flash oder Silverlight umge­hend deak­ti­vie­ren, noch bes­ser deinstal­lie­ren

Update 18.03.2016

Per Email erreich­ten uns eini­ge Anmerkungen, ohne Flash sei der größ­te Teil des Webangebots nicht zu nut­zen. Die mei­sten Anbieter ver­mei­den mitt­ler­wei­le die Gestaltung und Programmierung mit­tels sol­cher Zusatzsoftware. Die aktu­el­len HTML Standards bie­ten aus­rei­chend Alternativen. Unsere Meinung: wer meint, heu­te noch Intros oder Navigation mit Flash anbie­ten zu müs­sen, braucht sich über aus­blei­ben­de Besucher nicht wun­dern. Auf unse­ren Geräten wer­den sol­che regel­mä­ßig mit Sicherheitslücken aus­ge­stat­te­ten “Gimmicks” erst gar nicht instal­liert. Und es geht.

Uwe Jacob, Chef des Landeskriminalamts Nordrhein-Westfalen (NRW) in Düsseldorf äußert sich besorgt zur Bedrohung durch die aktu­el­len Krypto-Trojaner-Kampagnen:

Wir stel­len der­zeit eine qua­li­ta­ti­ve Veränderung sol­cher heim­tücki­scher Angriffe fest.”

Jacob wei­ter:

Wenn ein Krankenhaus die Notfallversorgung ein­stel­len und Operationen ver­schie­ben muss, wenn eine Stadtverwaltung kei­nen Zugriff mehr auf ihre Daten hat oder auch Unternehmen in ihrer Existenz bedroht sind, dann macht mir das gro­ße Sorgen!”

Die Vorsorge zur Abwehr sol­cher Attacken und auch deren Krisenbewältigung im Erfolgsfall sieht Jacob als kla­re Aufgabe des Spitzenmanagements einer Organisation, ganz unab­hän­gig davon, ob es sich dabei um eine öffent­li­che oder nicht-öffentliche Stelle han­delt. Daher geht sein Appell sowohl an Vorstände, Geschäftsführer und Unternehmer als auch an Bürgermeister, Landräte, Amts- und Geschäftsstellenleiter und alle ande­ren Führungskräfte:

Alle sind per­sön­lich gefor­dert und das ist ins­be­son­de­re die Aufgabe des Spitzenmanagements, der Oberbürgermeister und der Behördenleiter. Sie müs­sen Ihr Unternehmen, Ihre Behörde, Ihre Organisation und die Bürgerinnen und Bürger vor Schaden bewah­ren. Damit kön­nen wir nicht war­ten. Es ist höch­ste Zeit, jetzt die not­wen­di­gen Maßnahmen ein­zu­lei­ten.”

Die aktu­el­len Krypto-Trojaner (Ransomware) exi­stie­ren in so viel­fäl­ti­gen Varianten und wer­den dabei unter Inkaufnahme von Streuverlusten zigtausend- oder mil­lio­nen­fach ver­teilt, dass eine Abwehr fast nicht mög­lich scheint. Virenschutz ist erst eini­ge Stunden nach Neuerscheinung einer abge­wan­del­ten Version in der Lage, Schutz zu bie­ten. Die Trojaner ver­schlüs­seln ver­schie­de­ne Dateien und rich­ten so unmit­tel­ba­ren Schaden bei den Betroffenen an. Dabei wird Kryptographie ein­ge­setzt, die dem Stand der Technik ent­spricht. Somit sind die Chancen gering, die Verschlüsselung bre­chen zu kön­nen. Und die Liste der befal­le­nen Dateien wird täg­lich grö­ßer. Hinzu kom­men neue Infektionswege über Drive-by-Downloads und Malvertising-Kampagnen.

Arne Schönbohm, Präsident des BSI assi­stiert

Die IT-Sicherheitsvorfälle der letz­ten Wochen zei­gen, wie abhän­gig unse­re Gesellschaft von Informationstechnologie ist und wel­che Auswirkungen ein Cyber-Angriff auf die Verfügbarkeit Kritischer Infrastrukturen haben kann. Krankenhäuser sind auf­grund ihrer her­aus­ra­gen­den Bedeutung für das Wohlergehen der Bevölkerung ein wich­ti­ger Teil der Kritischen Infrastrukturen und soll­ten daher die poten­zi­el­len Risiken für die Funktionsfähigkeit ihrer Prozesse ken­nen und die­sen durch geeig­ne­te Maßnahmen der Prävention, Detektion und Reaktion begeg­nen.”

a.s.k. Datenschutz berät und unter­stützt bei der Auswahl und Einführung geeig­ne­ter Maßnahmen zur Risikominimierung sowie der Krisenbewältigung. Sprechen Sie uns an.

 

Mit dem Krypto-Trojaner KeRanger ist nun auch das Apple Betriebssystem Mac OS betrof­fen. Soweit bis­her bekannt, wird die Infektion durch die Nutzung eines mani­pu­lier­ten Disk-Images des Bittorrent-Clients Transmission (V 2.90) aus­ge­löst. Aufgrund eines Server-Hacks wur­de das ori­gi­na­le Disk-Image gegen die mani­pu­lier­te Version aus­ge­tauscht. Nach Angaben der Entwickler von Transmission wur­de die­se ver­seuch­te Version wohl nur in 6.500 Fällen her­un­ter­ge­la­den.

KeRanger schläft erst mal

Ist das Mac System erst mal von KeRanger befal­len, legt sich der Krypto-Trojaner erst mal für 3 Tage schla­fen. Dies ist beson­ders tückisch, da der Zeitraum zwi­schen Infektion und Ausbruch das Opfer erst mal in schein­ba­rer Sicherheit wie­gen.

Ist die Inkubationszeit abge­lau­fen, fängt der übli­che und bekann­te Prozess an: Verschlüsselung, dann Lösegeldforderung. In die­sem Fall sind es nach einem Bericht von Mac & I 1 Bitcoin, also umge­rech­net zum aktu­el­len Kurs cir­ca 380 Euro.

Wie kann ich mich gegen KeRanger schützen?

Wer den Bittorrent-Client Transmission nicht genutzt hat und nicht nutzt, ist im Moment fein raus. Andere Verbreitungswege sind noch nicht bekannt, Betonung liegt auf noch. Zusätzlich soll­te unter Systemsteuerung / App Store / “Systemdateien und Sicherheits-Updates instal­lie­ren” akti­viert sein. Laut der Zeitschrift aus dem hei­se Verlag kann das Update auch manu­ell in einem Terminalfenster mit Admin-Rechten aus­ge­führt wer­den:

sudo softwareupdate --background-critical

Was tun, wenn mein Mac  schon von KeRanger befal­len ist?

Eine kon­kre­te Anleitung zur Identifizierung und Beseitigung der Infektion mit KeRanger hält Mac & I bereit. Folgen Sie ein­fach der sehr gut geschil­der­ten Anleitung.

Zum Zeitpunkt des Beitrags auf Mac & I wur­de KeRanger noch von kei­ner der übli­chen Schutzlösungen erkannt. Da der Schutz in einem sol­chen Fall jedoch meist nur signa­tur­ba­siert mög­lich ist, bleibt zwi­schen mög­li­cher Infektion und Update der Signaturdatenbank stets eine gefähr­li­che zeit­li­che Lücke.

Ob die Entwickler nun unbe­dingt den bekann­ten Song “Come talk to me” von Peter Gabriel im Duett mit Kate Bush im Kopf hat­ten, wer­den wir wohl nicht erfah­ren. Tatsache ist jedoch, dass Experten von TrendMicro einen spre­chen­den Krypto-Trojaner ent­deckt haben. Dieser hört auf den Namen Cerber und geht nach bekann­tem Muster vor.

Krypto-Trojaner Cerber spricht

Sind die erreich­ba­ren Daten erst  mal ver­schlüs­selt, wird auch durch Cerber das Opfer durch einen ent­spre­chen­den Text auf dem Bildschirm auf die­sen Umstand auf­merk­sam gemacht. Zusätzlich wird über eine Audio-Nachricht die Botschaft der Erpresser und die Vorgehensweise zur Entschlüsselung abge­spielt. Zur Zeit steht ein Betrag von rund 1,25 Bitcoins im Raum (ca. 525 US Dollar). Geht das Opfer auf die Entschlüsselung gegen Zahlung nicht ein, ver­dop­pelt sich der Betrag.

Wie wird Cerber verbreitet?

Laut dem Blog-Eintrag von TrendMicro wird Cerber mit­tels Exploit-Kit im Rahmen von soge­nann­ten Malvertising-Kampagnen beim Besuch legi­ti­mer Webseiten ver­brei­tet. Im rus­si­schen Untergrund wer­de Cerber als Ransomware-as-a-Service ange­bo­ten. Daher ist davon aus­zu­ge­hen, dass die Verbreitung und Infektionszahl in abseh­ba­rer Zeit zuneh­men wer­den.

Wer möch­te, kann sich die Sprachdatei auf dem Blog von Trend Micro anhö­ren.

Wie kann ich mich gegen Cerber schützen?

Hier hel­fen die übli­chen Hausmittel: stets alle Systeme und Programme (gera­de Browser und Plugins) aktu­ell hal­ten, gefähr­de­te Plugins wie Flash deinstal­lie­ren, AdBlocker instal­lie­ren (unbe­stä­tigt!), Surfen auf das unbe­dingt not­wen­di­ge Maß redu­zie­ren (aber Achtung: auch ganz legi­ti­me Seite kön­nen über ver­seuch­te Ad-Kampagnen betrof­fen sein), User sen­si­bi­li­sie­ren und sen­si­bi­li­sie­ren und sen­si­bi­li­sie­ren (das machen Sie wegen Locky & Co wahr­schein­lich eh schon — hof­fent­lich), regel­mä­ßi­ge Backups (und die Sicherung / Sicherungsträger vom Netz ent­kop­peln).

Netzpolitik.org hat heu­te eine Chronologie des Bundestag-Hacks in Form einer Timeline mit Erläuterungen ver­öf­fent­licht. Eine emp­feh­lens­wer­te Lektüre unse­rer Meinung nach.

Hier geht es zur Timeline