Das ist passiert:

Am 27. Juni 2017 waren die ersten Organisationen wie zum Beispiel Regierungseinrichtungen und wichtige Infrastrukturbetreiber von der Ransomware „Petya“ betroffen. Der Angriff verbreitete sich unter Verwendung mehrerer lateraler Bewegungstechniken. Sie ähneln denen, die bei den Angriffen durch WanaCrypt0r/WannaCry im Mai 2017 zum Einsatz kamen, einschließlich einer Methode, die das Exploit-Tool ETERNALBLUE nutzt, um sich über das SMB-Protokoll von Microsoft Windows zu bewegen. Palo Alto Networks-Kunden wurden automatisch vor den Petya-Angriffen geschützt – dank der Schutzmaßnahmen, die verschiedenen Elementen unserer Next-Generation-Sicherheitsplattform entstammen und dort erstellt, bereitgestellt und durchgesetzt werden. In diesem On-Demand-Webcast erfahren Sie mehr über den Bedrohungskontext und Schutzmaßnahmen in Bezug auf Petya.

Funktionsweise des Angriffs:

Obwohl der ursprüngliche Infektionsvektor unklar ist, so ist doch bekannt, dass Petya versucht, sich mithilfe verschiedener lateraler Bewegungstechniken auf andere Hosts zu verbreiten. Dabei wird unter anderem eine SMB-Sicherheitslücke (CVE-2017-0144) auf Microsoft Windows-Systemen genutzt, die das Exploit-Tool „ETERNALBLUE“ verwenden. Die Hackergruppe Shadow Brokers gab diese Sicherheitslücke im April 2017 öffentlich bekannt, Microsoft reagierte bereits im März 2017 mit dem Sicherheitsupdate MS17-010 darauf. Nach der erfolgreichen Infektion verschlüsselt die Malware die Systeme der Benutzer. Gegen die Zahlung von 300 US-Dollar sollte der Zugriff auf die Systeme wieder ermöglicht werden. Eine ausführliche Analyse, die sich mit dem Playbook des Petya-Angriffs beschäftigt, finden Sie im Blog des Unit 42-Bedrohungsforschungsteams.

Präventionen:

Palo Alto Networks-Kunden sind durch unsere Next-Generation-Sicherheitsplattform geschützt. Diese funktioniert nach dem Prinzip der Angriffsprävention und stoppt Bedrohungen über den ganzen Angriffsverlauf hinweg automatisch. Palo Alto Networks-Kunden sind durch mehrere, sich ergänzende Schutzmaßnahmen über die gesamte Plattform hinweg vor der Petya-Ransomware geschützt:

  • WildFire klassifiziert alle bekannten Samples als Malware und verhindert damit automatisch, dass den Benutzern schädliche Inhalte bereitgestellt werden.
  • AutoFocus verfolgt den Angriff für die Bedrohungsanalyse und -suche mithilfe des Petya-Tags.
  • Threat Prevention
    • Setzt IPS-Signaturen (Inhaltsversion: 688-2964) für den Exploit der SMB-Sicherheitslücke durch (CVE-2017-0144 – MS17-010), die bei diesem Angriff wahrscheinlich zum Einsatz kommen.
    • Blockiert die Schadsoftware über die folgenden Signaturen: „Virus/Win32.WGeneric.mkldr“ und „Virus/Win32.WGeneric.mkknd“.
  • GlobalProtect erweitert die Schutzmaßnahmen von WildFire und Threat Prevention um sicherzustellen, dass auch dezentrale Standorte und Benutzer jederzeit geschützt sind.
  • Traps verhindert die anfängliche Infektion, die in Verbindung mit der MeDoc-Softwareaktualisierung steht, indem die untergeordneten Prozesse geschützt und die DLL Hijacking-Regeln verwendet werden. (Inhaltsaktualisierungen sind hier verfügbar. Ein Konto ist dafür erforderlich.) Die Verbreitung der Malware durch die Nutzung von Mimikatz kann durch lokale Analysen und WildFire-Cloudabfragen verhindert werden.
  • App-ID sollte verwendet werden, um den SMB- und WMI-Traffic im gesamten Netzwerk zu steuern. Dieser sollte nur dort aktiviert werden, wo er wirklich notwendig ist, außerdem ist es empfehlenswert, ältere Protokollversionen (z. B. SMBv1) zu deaktivieren, da sie ein größeres Risiko darstellen.
  • Multi-Factor Authentication (MFA) kann die Verwendung von gültigen Nutzerdaten unterbinden, über die möglicherweise weitere Systeme im Netzwerk infiziert wurden.
  • Mithilfe der Segmentierung können Sie schädlichen Traffic zwischen benutzerdefinierten Zonen sperren und so die laterale Verbreitung von Petya verhindern. Außerdem können Sie eine Zero-Trust-Architektur in Ihrem Netzwerk implementieren, die innerhalb der Zonen für eine Mikrosegmentierung sorgt.

HINWEIS: Wir überwachen die Petya-Situation kontinuierlich und aktualisieren diesen Post laufend mit zusätzlichen Informationen hinsichtlich der Schutzmaßnahmen.

Informationen zu Best Practices in Bezug auf das Verhindern von Ransomware-Angriffe mit der Next-Generation-Sicherheitsplattform von Palo Alto Networks finden Sie in unserem Knowledge Base-Artikel. Wir empfehlen allen Windows-Benutzern zu überprüfen, ob die von Microsoft bereitgestellten aktuellen Patches installiert sind. Dabei sollten auch Softwareversionen bedacht werden, für die kein Support mehr verfügbar ist. Aktuelle Informationen zum Playbook des Petya-Angriffs finden Sie im Post von Unit 42. Nehmen Sie an diesem On-Demand-Webcast teil, und erfahren Sie mehr über den Bedrohungskontext und Schutzmaßnahmen in Bezug auf Petya.

Versionszusammenfassung:

Dienstag, 27. Juni 2017 – 20:00 Uhr PST

  • Informationen zum Schutz durch App-ID hinzugefügt

28. Juni 2017 – 13:15 Uhr PST

  • Informationen zu MFA und Segmentierung hinzugefügt

6. Juli 2017 – 17:15 Uhr PST

  • Informationen zu Traps hinzugefügt

White paper

EINFACHE ZERO-TRUSTIMPLEMENTIERUNG IN FÜNF SCHRITTEN

Für die Implementierung sind nur fünf Schritte erforderlich. In diesem Whitepaper beschreiben wir diese Schritte im Detail und erläutern, wie die integrierte Plattform von Palo Alto Networks in jeder Phase den notwendigen Schutz für Ihre kritischen Ressourcen bietet.

  • 226

Datenblatt

Prisma Cloud: Überblick

Mit Prisma Cloud von Palo Alto Networks® können Unternehmen die Einhaltung von Compliance-Vorgaben kontrollieren, Schutzmaßnahmen zentralisieren und einheitliche Sicherheitsprozesse in allen Public-Cloud-Umgebungen implementieren.

  • 92

Datenblatt

Managed Detection and Response (MDR)

Unsere branchenführenden Partner bieten Ihnen umfangreiche, auf Cortex XDR™ basierende MDR-Services, die das Sicherheitsniveau Ihres Unternehmens nachhaltig heben. Als Kunde erhalten Sie Zugang zu erfahrenen Experten, die Ihre Teams entlasten und sich rund um die Uhr um die Prüfung und Einstufung von Warnmeldungen, die proaktive Suche nach Bedrohungen und die Abwehr schädlicher Aktivitäten im Netzwerk, auf Endpunkten und in der Cloud kümmern. Mit dieser Unterstützung ist die Umstellung auf moderne Sicherheitsprozesse innerhalb von Wochen – statt im Laufe mehrerer Jahre – zu bewältigen. Außerdem profitieren Sie von SLAs, die Ihnen eine sofortige Senkung der durchschnittlichen Zeit bis zur Erkennung eines Angriffs und der Dauer der Abwehr der Bedrohung auf jeweils höchstens 60 Minuten garantieren.

  • 1335

White paper

BERICHT ÜBER CYBERBEDROHUNGEN: AUSSPÄHUNG 2.0

Hacker haben ein ganzes Arsenal an Tools und Techniken entwickelt, mit denen sie in Unternehmensnetzwerke einbrechen und wertvolle Daten stehlen. Der vorliegende Bericht stellt die neuesten Taktiken vor, mit denen sie sich tarnen, während sie ein infiltriertes System auskundschaften. Außerdem wird darin erläutert, wie automatisierte Hackertools auch Amateure in die Lage versetzen, raffinierte Ausspähoperationen durchzuführen und das Tempo ihrer Angriffe zu beschleunigen.

  • 377

Artikel

Ransomware: Allgemeine Angriffsmethoden

Um sich besser vor Ransomware zu schützen, ist es wichtig, die von Angreifern genutzten Taktiken zu verstehen.

  • 817

White paper

AUF EINEN BLICK PALO ALTO NETWORKS SECURITY OPERATING PLATFORM

Die Security Operating Platform von Palo Alto Networks verhindert Cyberattacken erfolgreich durch Automatisierung. Dank exakter Analysen können Sie Routineaufgaben optimieren und sich auf Ihre geschäftlichen Prioritäten fokussieren. Die enge Integration innerhalb der Plattform und durch Netzwerkpartner sorgt für konsistent hohe Sicherheit in Clouds und Netzwerken sowie auf Mobilgeräten. Kunden sind von der Zuverlässigkeit und Benutzerfreundlichkeit unserer Sicherheitslösungen begeistert, was sich in Top-Bewertungen bei der Kundenzufriedenheit innerhalb der Branche widerspiegelt. Laden Sie das Dokument „Auf einen Blick“ herunter, um mehr zu erfahren.

  • 600