Der IT-Sicherheitsblog

Derzeit läuft eine Angriffswelle mit einer - so die Vermutungen - modifizierten Version von Petya. Angeblich wird die Sicherheitslücke "Eternal Blue" (von der NSA entdeckt und ausgenutzt und von Shadow Brokers veröffentlicht) für die Ausbreitung genutzt.

BSI-Präsident Arne Schönbohm dazu: "Nach ersten Erkenntnissen des BSI handelt es sich um eine Angriffswelle mit der Schadsoftware Petya, die unter anderem die gleiche Schwachstelle ausnutzt, die sich auch die Ransomware WannaCry zu Nutzen gemacht hatte. Das Patchen dieser Schwachstelle mit dem seit Monaten verfügbaren Microsoft-Patch hätte in vielen Fällen eine Infektion verhindert. In internen Netzen benutzt Petya zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung und kann damit auch Systeme befallen, die auf aktuellem Patchstand sind. Angesichts der akuten Bedrohungslage rufen wir die Wirtschaft erneut dazu auf, die Risiken der Digitalisierung ernst zu nehmen und notwendige Investitionen in die IT-Sicherheit nicht aufzuschieben."

Es wäre schön, wenn wir das "gängiges Administrationswerkzeug" kennen würden.

Die Liste der betroffenen Unternehmen bei Heise Online läßt ein größeres Ausmaß als bei WannaCry befürchten.

Die ersten Betroffenen habe auch schon die geforderten 300 US-$ (derzeit ca. 0,12 BitCoin) bezahlt. Die BitCoin Adresse ist in dem Screenshot von George Argyrakis gut zu erkennen. Hier sieht man den bisher eingegangen Betrag.

[Update] Die angebene Kontakt-E-Mail wowsmith123456@posteo.net ist vom deutschen Provider Posteo gesperrt. Eine Kontaktaufnahme per E-Mail mit den Erpressern ist somit nicht möglich. Damit können die Lösegeldzahlungen nicht zugeordnet werden und dementsprechend kann es keinen Schlüssel geben. Zahlen ist also definitiv sinnlos.

[Update2] Das angesprochene gängige Administrationstool ist psexec. Außerdem soll WMI verwendet werden. Kaspersky berichtet in einem Blog, dass ein Exploit EternalRomance benutzt wird. Der betrifft nicht gepatchte Windows XP bis Windows 2008 Systeme. Der Angriff erfolgt über TCP Port 445. Außerdem soll der Update Prozess einer Ukrainischen Software benutzt werden. Ein gezielter Angriff gegen die Ukraine? Dafür spricht, dass rund 60% der infizierten System in der Ukraine sind. In dem Kasperkys Blog findet der Adminstrator auch IoCs und Yara-Regeln zur Erkennung.

[Update3] Mittlerwiele gibt es Hinweise auf einen Killswitch. Auf Twitter wird diskutiert, wie die Datei heissen muss: "c:\windows\perfc", "c:\windows\perfc.dat" oder "c:\windows\perfc.dll". Am einfachsten legt amn alle drei Dateien an. Und sicherheitshalber sollte die Dateien schreibgecshützt sein udn nicht ausgeführtw erden dürfen.

Seit dem 13.6.2017 werden Unternehmen und Einrichtungen weltweit mit der Drohung bereits gestohlene Daten zu veröffentlichen, mit Crypto-Ransomware Daten zu evrschlüsseln und einen DDoS Angriff auszuführen erpresst. Nach Einschätzung vieler Experten handelt es sich um eine leere Drohung. Die verwendeten Begriffe in der englischsprachigen E-Mail sind komisch ("DataBase tax forms") bzw. bei den angeschriebenen Unterenhemen und Einrichtungen nicht immer vorhanden (Universitäten oder Behörden haben keine Kredikartendaten von Kunden).

Die ersten Mails kamen von einer Gruppierung "HACKER TEAM - Meridian Collective" und drohten mit Hacks und DDoS-Angriffen am 16.6.2017 um 20:00 Uhr GMT.

Dann änderte sich die Gruppierung (eher nur der Name) zu "Xball collective" bzw. "Team Xball". Diese behaupten, die Daten seien bereits gestohlen und beginnen den Angriff schon am 16..6.2017 um 19:00 Uhr GMT.

Ein Angreifer, der mit DDoS droht, wird nicht viele Ziele gleichzeitig angreifen, sondern sich auf ein Ziel konzentrieren. Dies scheinen Massen-E-Mails zu sein, die einfach hoffen, dass schon jemand zahlt. Es kann davon ausgegangen werden, dass nichts passiert, auch wenn Sie nicht zahlen. Deshalb: zahlen Sie auf keinen Fall.

Die Information "Once you have paid we will automatically get informed that it was your payment." ist definitiv falsch, da in vielen Mails identische BitCoin-Adressen verwendet werden. Da der Erpresser aber nicht weiss, wer gezahlt hat, kann er den Angriff auch nicht gezielt einstellen oder unterlassen.

Es werden weltweit nur relativ wenige BitCoin-Adressen verwendet.

• 14fKPXrkBdjUJZ9HPTXL45u3SmzERxQvox
• 1C6nKRo72UYxhVz7ejwHNS4pBuSbfoe1Q7
• 1HgGf2BCRkBmJNy13oWPo267bq7Lp17Djr
• 1Kj69yhhWpJaWo9s3MZW6ZztcCjeeakdFW
• 1BFhKbC84rKrUFsbtDpWJvBY3H7SkvXnyv
• 1DbFdxqPcCU6rhqvdZVcsAhYX5iGqAjni9
• 1Fc3ZoKPm5V2BDFxhQBxQRXyGD54owwSJi
• 1KZsSR36jpHFx7DBEHr8gLMLPuZKQyKYkC
• 1MDt7e73kY1u6YqCHrb4Zor6yP6hPvNKDb
• 1PgjhU1Z1NzLUWyLxvZYpTWPaVKWWqT9eb
• 13qRaMncErReXzVBkbs6WsMJaW1iZqDu15

Und zum Glück ist die Zahlungsmoral doch relativ schlecht. :-)

Auch wenn DDoS und Crypto-Ransomware, wie der Vorfall "WannaCry" gezeigt hat, eine echte Bedrohung darstellen, sollte man sich vor Trittbrettfahrern in Acht nehmen.

[Update 19.6.] Erwartungsgemäß ist weder am Freitagabend noch am Wochende "etwas passiert".]

[Update 20.6.] Mittlerweile tritt die Gruppe auch unter dem Namen "Collective of Amadeus" auf, verwendet aber identische BitCoin-Adressen. Eine weitere BitCoin-Adressse wurde ergänzt

Quellen: DFN-Cert GmbH, Intruder Systems Ltd. und reddit Inc.