Das ist passiert:

Am 27. Juni 2017 waren die ersten Organisationen wie zum Beispiel Regierungseinrichtungen und wichtige Infrastrukturbetreiber von der Ransomware „Petya“ betroffen. Der Angriff verbreitete sich unter Verwendung mehrerer lateraler Bewegungstechniken. Sie ähneln denen, die bei den Angriffen durch WanaCrypt0r/WannaCry im Mai 2017 zum Einsatz kamen, einschließlich einer Methode, die das Exploit-Tool ETERNALBLUE nutzt, um sich über das SMB-Protokoll von Microsoft Windows zu bewegen. Palo Alto Networks-Kunden wurden automatisch vor den Petya-Angriffen geschützt – dank der Schutzmaßnahmen, die verschiedenen Elementen unserer Next-Generation-Sicherheitsplattform entstammen und dort erstellt, bereitgestellt und durchgesetzt werden. In diesem On-Demand-Webcast erfahren Sie mehr über den Bedrohungskontext und Schutzmaßnahmen in Bezug auf Petya.

Funktionsweise des Angriffs:

Obwohl der ursprüngliche Infektionsvektor unklar ist, so ist doch bekannt, dass Petya versucht, sich mithilfe verschiedener lateraler Bewegungstechniken auf andere Hosts zu verbreiten. Dabei wird unter anderem eine SMB-Sicherheitslücke (CVE-2017-0144) auf Microsoft Windows-Systemen genutzt, die das Exploit-Tool „ETERNALBLUE“ verwenden. Die Hackergruppe Shadow Brokers gab diese Sicherheitslücke im April 2017 öffentlich bekannt, Microsoft reagierte bereits im März 2017 mit dem Sicherheitsupdate MS17-010 darauf. Nach der erfolgreichen Infektion verschlüsselt die Malware die Systeme der Benutzer. Gegen die Zahlung von 300 US-Dollar sollte der Zugriff auf die Systeme wieder ermöglicht werden. Eine ausführliche Analyse, die sich mit dem Playbook des Petya-Angriffs beschäftigt, finden Sie im Blog des Unit 42-Bedrohungsforschungsteams.

Präventionen:

Palo Alto Networks-Kunden sind durch unsere Next-Generation-Sicherheitsplattform geschützt. Diese funktioniert nach dem Prinzip der Angriffsprävention und stoppt Bedrohungen über den ganzen Angriffsverlauf hinweg automatisch. Palo Alto Networks-Kunden sind durch mehrere, sich ergänzende Schutzmaßnahmen über die gesamte Plattform hinweg vor der Petya-Ransomware geschützt:

• WildFire klassifiziert alle bekannten Samples als Malware und verhindert damit automatisch, dass den Benutzern schädliche Inhalte bereitgestellt werden.
• AutoFocus verfolgt den Angriff für die Bedrohungsanalyse und -suche mithilfe des Petya-Tags.
• Threat Prevention
  • Setzt IPS-Signaturen (Inhaltsversion: 688-2964) für den Exploit der SMB-Sicherheitslücke durch (CVE-2017-0144 – MS17-010), die bei diesem Angriff wahrscheinlich zum Einsatz kommen.
  • Blockiert die Schadsoftware über die folgenden Signaturen: „Virus/Win32.WGeneric.mkldr“ und „Virus/Win32.WGeneric.mkknd“.
• GlobalProtect erweitert die Schutzmaßnahmen von WildFire und Threat Prevention um sicherzustellen, dass auch dezentrale Standorte und Benutzer jederzeit geschützt sind.
• Traps verhindert die anfängliche Infektion, die in Verbindung mit der MeDoc-Softwareaktualisierung steht, indem die untergeordneten Prozesse geschützt und die DLL Hijacking-Regeln verwendet werden. (Inhaltsaktualisierungen sind hier verfügbar. Ein Konto ist dafür erforderlich.) Die Verbreitung der Malware durch die Nutzung von Mimikatz kann durch lokale Analysen und WildFire-Cloudabfragen verhindert werden.
• App-ID sollte verwendet werden, um den SMB- und WMI-Traffic im gesamten Netzwerk zu steuern. Dieser sollte nur dort aktiviert werden, wo er wirklich notwendig ist, außerdem ist es empfehlenswert, ältere Protokollversionen (z. B. SMBv1) zu deaktivieren, da sie ein größeres Risiko darstellen.
• Multi-Factor Authentication (MFA) kann die Verwendung von gültigen Nutzerdaten unterbinden, über die möglicherweise weitere Systeme im Netzwerk infiziert wurden.
• Mithilfe der Segmentierung können Sie schädlichen Traffic zwischen benutzerdefinierten Zonen sperren und so die laterale Verbreitung von Petya verhindern. Außerdem können Sie eine Zero-Trust-Architektur in Ihrem Netzwerk implementieren, die innerhalb der Zonen für eine Mikrosegmentierung sorgt.

HINWEIS: Wir überwachen die Petya-Situation kontinuierlich und aktualisieren diesen Post laufend mit zusätzlichen Informationen hinsichtlich der Schutzmaßnahmen.

Informationen zu Best Practices in Bezug auf das Verhindern von Ransomware-Angriffe mit der Next-Generation-Sicherheitsplattform von Palo Alto Networks finden Sie in unserem Knowledge Base-Artikel. Wir empfehlen allen Windows-Benutzern zu überprüfen, ob die von Microsoft bereitgestellten aktuellen Patches installiert sind. Dabei sollten auch Softwareversionen bedacht werden, für die kein Support mehr verfügbar ist. Aktuelle Informationen zum Playbook des Petya-Angriffs finden Sie im Post von Unit 42. Nehmen Sie an diesem On-Demand-Webcast teil, und erfahren Sie mehr über den Bedrohungskontext und Schutzmaßnahmen in Bezug auf Petya.

Versionszusammenfassung:

Dienstag, 27. Juni 2017 – 20:00 Uhr PST

• Informationen zum Schutz durch App-ID hinzugefügt

28. Juni 2017 – 13:15 Uhr PST

• Informationen zu MFA und Segmentierung hinzugefügt

6. Juli 2017 – 17:15 Uhr PST

• Informationen zu Traps hinzugefügt