Erneute Cyber-Attacke: Petya greift weltweit Unternehmen an

Wenigen Wochen nach dem Cyber-Angriff „WannaCry“ sind am 27. Juni 2017 erneut Unternehmen von einer weltweiten, massiven Cyber-Attacke betroffen - dieses Mal mit einer abgewandelten Version des bereits seit 2016 bekannten Verschlüsselungstrojaners „Petya“. Genutzt wurde dabei die bereits beim WannaCry-Angriff verwendete Lücke zum Einfall in ein Netzwerk. Einmal eingedrungen, nutzt Petya laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung und kann damit auch Systeme befallen, die auf aktuellem Patchstand sind.

Anders als andere Kryptotrojaner verschlüsselt dieser Version von Petya offensichtlich nicht nur bestimmte Dateien, sondern verfügt auch über Funktionen, die den Boot-Bereich der primären Festplatte manipulieren, so dass kein Betriebssystem gestartet werden kann. Auf befallenen Systemen erscheint eine Nachricht, in der Lösegeld verlangt wird. Zur Kontaktaufnahmen haben die Kriminellen Mailadressen bei einem international agierenden Email-Provider reserviert. Dieser hat die betroffenen Mailadressen in der Zwischenzeit gesperrt, so dass keine Kommunikation und damit auch keine Zusendung von Schlüsseln zum Entsperren der Systeme erfolgen kann. Das Zahlen des Lösegelds kann also keinen Erfolg haben.

Die erneute Ausnutzung der Sicherheitslücke, die bereits WannaCry genutzt hat, deutet darauf hin, dass bei Unternehmen offenbar immer noch signifikante Mängel im Management der Informationssicherheit haben.“ sagt IT Sicherheitsexperte Derk Fischer von PwC zu der erneuten Ausnutzung der bekannten und eigentlich von Microsoft bereits mittels Security Patch geschlossenen Lücke. "Trotz eines enormen Presseechos und umfangreicher Informationen von vielen Seiten haben die Unternehmen die WannaCry-Attacke offensichtlich nicht zum Anlass für die Schließung der bekannten Lücken genutzt“, so Fischer weiter. Von der erneuten Attacken sind insbesondere Russland und die Ukraine betroffen. Aber auch Unternehmen in anderen, europäischen Ländern und auch in Deutschland wurden nicht verschont.

Was Unternehmen ad hoc jetzt tun können

• PwC Notfalladresse: aidbreach@de.pwc.com verwenden
• Nicht auf Forderungen eingehen, wenn keine Lebensgefahr besteht
• Sämtlichen externen SMB-Zugriff sperren (Sperren der Ports 137, 139 und 445 zu/aus dem Internet)
• Sofortiges Isolieren der erkannten, befallenen Systeme vom Unternehmensnetzwerk, um die Verbreitung einzudämmen
• Sicherheitspatch MS17-010 und alle weiteren verfügbaren Sicherheits-Patches von Microsoft einspielen - soweit noch nicht geschehen
• Identifizierte Systeme, die nicht auf aktuellem Patch-Level sind, wirksam daran hindern, sich mit dem Unternehmensnetzwerk zu verbinden
• Sicherheitskopie der verschlüsselten Daten anlegen, damit später, bei eventueller Verfügbarkeit eines Schlüssels, diese wieder hergestellt werden können.