Palo Alto Networks: Was wir über Petya Ransomware wissen

28. Juni 2017 - Am 27. Juni 2017 wurde eine neue Variante der Petya Malware entdeckt, welche sich über das Microsoft Windows SMB Protokoll verbreitet. Die Malware scheint das ETERNALBLUE-Exploit-Tool zu verwenden, um dies zu erreichen. Dies ist die gleiche Nutzung, welche auch die WanaCrypt0r / WanaCry Malware ausgenutzt hat und sich im Mai 2017 weltweit verbreitet hat. 

Wie gehen die Angreifer vor?
Petya versucht sich mit dem SMB-Protokoll auf andere Hosts zu verbreiten, indem die ETERNALBLUE-Schwachstelle (CVE-2017-0144) der Microsoft Windows-Systemen ausnutzt. Diese Verletzbarkeit wurde im April 2017 von der Shadow Brokers-Gruppe öffentlich bekannt gegeben und wurde auch von Microsoft im März 2017 mit MS17-010 adressiert. Die Malware verschlüsselt die Systeme der Benutzer und fordert für eine Entschlüsselung ein Lösegeld von USD 300.

Schutz
Palo Alto Networks Kunden sind durch die Next-Generation Security Platform geschützt, welche einen Verletzungsschutz verfolgt, der automatisch Bedrohungen über den Angriffszyklus hinweg stoppt. Durch mehrere ergänzende Präventions-Kontrollen der Plattform wird auch die Petya Ransomware verhindert, inklusive:

• WildFire klassifiziert alle bekannten Samples als Malware und blockiert automatisch böswillige Inhalte, die an Benutzer weitergegeben werden.
  
  
• AutoFocus verfolgt den Angriff auf Bedrohungsanalytik und Jagd über den Petya-Tag.
  
  
• Threat Prevention 
  • Erzwingt IPS-Signaturen (Content Release: 688-2964) für die SMB-Schwachstellenausnutzung (CVE-2017-0144- MS17-010), die bei diesem Angriff wahrscheinlich verwendet wird
  • Blockiert die schädliche Nutzlast über "Virus / Win32.WGeneric.mkldr" und "Virus / Win32.WGeneric.mkknd" Signaturen.
    
    
• GlobalProtect erweitert die Vorteile von WildFire und Threat Prevention, um eine konsistente Abdeckung für entfernte Standorte und Benutzer zu gewährleisten.
  
  
• App-ID sollte verwendet werden, um die Nutzung von SMB-Datenverkehr im gesamten Netzwerk zu kontrollieren, wobei nur dann, wo nötig, die Möglichkeit besteht, ältere Versionen des SMB-Protokolls zu deaktivieren, die ein höheres Risiko darstellen (z. B. SMBv1).
  
  

Die detaillierte Analyse des Petya Angriffs finden Sie im Blogeintrag des Unit 42 Forschungsteam von Palo Alto Networks. Ebenso erfahren Sie, wie Windows Nutzer vorgehen sollen.
Hier geht's direkt zum Blogeintrag der Unit42 von Palo Alto Networks

Haben Sie Fragen zur Palo Alto Networks Plattform? Dann kontaktieren Sie uns unter +41 44 839 11 11, wir helfen Ihnen gerne weiter!