{"id":13798,"date":"2017-06-29T10:02:53","date_gmt":"2017-06-29T10:02:53","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=13798"},"modified":"2022-05-05T14:18:14","modified_gmt":"2022-05-05T12:18:14","slug":"expetr-for-b2b","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/expetr-for-b2b\/13798\/","title":{"rendered":"ExPetr hat es auf wichtige Unternehmen abgesehen"},"content":{"rendered":"<p>Wir sind momentan Zeugen der <a href=\"https:\/\/www.kaspersky.de\/blog\/neue-ransomware-angriffswelle-notpedya\/13773\/\" target=\"_blank\" rel=\"noopener\">Angriffswelle einer neuen Kryptomalware-Art<\/a>. Unsere Experten haben sie ExPetr genannt (andere nennen sie Petya, PetrWrap, usw.). Der ausschlaggebende Unterschied dieser neuen Ransomware liegt darin, das die Kriminellen Ihre Ziele viel pr\u00e4ziser gew\u00e4hlt haben: Die Opfer sind haupts\u00e4chlich Unternehmen und keine Normalverbraucher.<\/p>\n<p>Das Schlimmste: Unter den Opfern dieser Malware befinden sich deutlich mehr kritische Infrastruktureinrichtungen. Aufgrund dieser Attacke wurden zum Beispiel einige Fl\u00fcge am Flughafen <a href=\"https:\/\/threatpost.com\/complex-petya-like-ransomware-outbreak-worse-than-wannacry\/126561\/\" target=\"_blank\" rel=\"noopener nofollow\">Boryspil (Kiew) mit angeblicher Versp\u00e4tung angezeigt<\/a>. Und es kommt noch schlimmer \u2013 das ber\u00fcchtigte <a href=\"http:\/\/edition.cnn.com\/2017\/06\/27\/europe\/chernobyl-cyber-attack\/index.html?iid=EL\" target=\"_blank\" rel=\"noopener nofollow\">Strahlungs-Monitoring-System des Kernkraftwerks in Chernobyl<\/a> war zeitlich aus demselben Grund au\u00dfer Betrieb.<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/92\/2017\/06\/28154350\/petya_ch7.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-17344\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/92\/2017\/06\/28154350\/petya_ch7.jpg\" alt=\"The worst part is that far more critical infrastructure facilities are among the victims of this malware.\" width=\"1280\" height=\"800\"><\/a><\/p>\n<p>Warum sind kritische Infrastruktursysteme immer wieder von Kryptomalware betroffen? Weil sie entweder direkt mit dem Firmennetzwerk verbunden sind oder direkten Zugriff auf das Internet haben.<\/p>\n<h2><strong>Was zu tun ist<\/strong><\/h2>\n<p>Genau wie bei <a href=\"https:\/\/www.kaspersky.de\/blog\/wannacry-for-b2b\/10180\/\" target=\"_blank\" rel=\"noopener\">WannaCry<\/a>, gibt es zwei verschiedene Probleme: die erste Penetration der Malware in die Infrastruktur des Unternehmens und die darauffolgende Verbreitung der Ransomware. Diese zwei Probleme sollten separat in Angriff genommen werden.<\/p>\n<h3><strong>So dringt die Malware zum ersten Mal ins Netzwerk ein<\/strong><\/h3>\n<p>Unseren Experten zufolge dringt die Malware auf verschiedene Wege in das Netzwerk ein. In einigen F\u00e4llen nutzt die Malware b\u00f6sartige Webseiten (Drive-By-Infektion); User erhielten die Malware verschleiert als Systemupdate. In anderen F\u00e4llen wurde die Infektion durch Softwareupdates von Drittanbietern verbreitet. Zum Beispiel durch die ukrainische Buchhaltungssoftware M.E.Doc. In anderen Worten: Es gibt nicht nur einen einzigen vorhersehbaren Einstiegspunkt der Ransomware, der bewacht werden sollte.<\/p>\n<p>Wir haben einige Empfehlungen, um die Malware daran zu hindern in Ihre Infrastruktur einzudringen:<\/p>\n<ul>\n<li>Weisen Sie Ihre Angestellten dazu an, keine verd\u00e4chtigen Anh\u00e4nge oder Links in E-Mails zu \u00f6ffnen (klingt selbstverst\u00e4ndlich, ist es aber nicht);<\/li>\n<li>Versichern Sie sich, das alle mit dem Internet verbundenen Systeme mit aktualisierten Sicherheitsl\u00f6sungen (mit integrierter Verhaltensanalyse) ausgestattet sind;<\/li>\n<li>\u00dcberpr\u00fcfen Sie, ob besonders wichtige Komponenten der Sicherheitsl\u00f6sungen aktiviert sind (bei Kaspersky Lab Produkten, stellen Sie sicher, das Kaspersky Security Network und System Watcher aktiviert sind)<\/li>\n<li>Updaten Sie regelm\u00e4\u00dfig Ihre Sicherheitsl\u00f6sungen;<\/li>\n<li>Setzen Sie Controlling-Tools und Kontrollsicherheitsl\u00f6sungen von einer einzigen Administrationskonsole aus ein \u2013 erlauben Sie Ihren Angestellten nicht die Einstellungen zu ver\u00e4ndern.<\/li>\n<\/ul>\n<p>Als zus\u00e4tzliche Schutzma\u00dfnahme (besonders dann, wenn Sie keine Kaspersky Lab-Produkte nutzen) k\u00f6nnen Sie unser kostenloses Kaspersky Anti-Ransomware-Tool installieren, der mit den meisten Sicherheitsl\u00f6sungen kompatibel ist. (<a href=\"https:\/\/go.kaspersky.com\/DACH_AntiRansomwareTool_SOC_2016.html\" target=\"_blank\" rel=\"noopener nofollow\">Erfahren Sie mehr<\/a>)<\/p>\n<h3><strong>Verbreitung innerhalb des Netzwerkes<\/strong><\/h3>\n<p>Wenn die Ransomware sich erst einmal in ein einzelnes System eingeschleust hat, kann sich ExPetr viel besser im lokalen Netzwerk weiterverbreiten als WannaCry. Das liegt daran, dass ExPetr \u00fcber ein breiteres Spektrum an F\u00e4higkeiten f\u00fcr diesen spezifischen Zweck verf\u00fcgt. Erstens, nutzt es mindestens zwei Exploits: das modifizierte Exploit EternalBlue (das auch bei WannaCry angewandt wurde) und EternalRomance (ein anderes Exploit des TCP Port 445). Zweitens, wenn es ein Systems mit Administrationsrechten infiziert, beginnt die Ransomware sich mithilfe der Windows Management Instrumentation-Technologie oder dem Tool der Remoteaktivierung von PsExec weiterzuverbreiten.<\/p>\n<p>Um die Verbreitung von Malware innerhalb Ihres Netzwerkes zu vermeiden (und besonders innerhalb von kritischen Infrastruktursystemen) sollten Sie:<\/p>\n<ul>\n<li>Systeme, die eine aktive Internetverbindung in einem separaten Netzwerksegment verlangen, isolieren;<\/li>\n<li>Das verbleibende Netzwerk in Subnetze oder virtuelle Subnetze mit eingeschr\u00e4nkten Verbindungen aufteilen und nur die Systeme verbinden, die es f\u00fcr technologische Prozesse ben\u00f6tigen;<\/li>\n<li>Sich \u00fcber die Empfehlung (beschrieben nach <a href=\"https:\/\/ics-cert.kaspersky.com\/reports\/2017\/06\/22\/wannacry-on-industrial-networks\/\" target=\"_blank\" rel=\"noopener\">dem WannaCry-Ausbruch<\/a>) der Kaspersky Lab ICS CERT Experten informieren (speziell f\u00fcr industrielle Unternehmen gedacht);<\/li>\n<li>Sicherstellen, das wichtige Windows Sicherheitsupdates rechtzeitig installiert werden. Besonders wichtig ist das Update <a href=\"https:\/\/www.kaspersky.de\/blog\/wannacry-windows-update\/10706\/\" target=\"_blank\" rel=\"noopener\">MS17-010<\/a>, das die L\u00fccken, die von EternalBlue und EternalRomance ausgenutzt werden, schlie\u00dft;<\/li>\n<li>Backup-Server vom Rest des Netzwerkes isolieren und den Einsatz der Verbindung zu Remote-Laufwerken auf Backup-Servern vermeiden;<\/li>\n<li>Die Ausf\u00fchrung der Datei namens &lt;i&gt;perfc.dat&lt;\/i&gt; mit dem Feature \u201eKontrolle des Programmstarts\u201c der Kaspersky Endpoint Security for Business oder dem Windows AppLocker verbieten;<\/li>\n<li>F\u00fcr Infrastrukturen, die mehrere eingebettete Systeme enthalten, setzten Sie spezielle Sicherheitsl\u00f6sungen wie Kaspersky Embedded Systems Security ein;<\/li>\n<li>Aktivieren Sie den Modus \u201eDefault Deny\u201c als zus\u00e4tzliche Schutzma\u00dfnahme auf Systemen bei denen dies m\u00f6glich ist; zum Beispiel auf Computern, deren Software nur selten abge\u00e4ndert wird. Das k\u00f6nnen Sie mit der Komponente \u201eKontrolle des Programmstarts\u201c der Kaspersky Endpoint Security for Business tun.<\/li>\n<\/ul>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/vzu20QttlJs?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n<p>Wir empfehlen Ihnen grunds\u00e4tzlich eine vielschichtige Sicherheitsl\u00f6sung mit: automatischen Softwareupdates, Anti-Ransomware-Komponenten und einer Komponente, die alle Prozesse innerhalb des Betriebssystem \u00fcberwacht. (<a href=\"https:\/\/www.kaspersky.de\/small-to-medium-business-security\/downloads\/endpoint-select-free-trial\" target=\"_blank\" rel=\"noopener\">Erfahren Sie mehr)<\/a><\/p>\n<h2>Zahlen oder nicht zahlen?<\/h2>\n<p>Obwohl wir normalerweise dazu raten, das L\u00f6segeld nicht zu zahlen, verstehen wir, dass einige Unternehmen die Zahlung als einzigen Ausweg sehen. Wenn Ihre Daten bereits von der ExPetr-Ransomware befallen wurden, sollten Sie unter keinen Umst\u00e4nden zahlen.<\/p>\n<p>Unsere Experten haben herausgefunden, dass diese Malware keinen Mechanismus hat, der die Installations-ID speichert. Ohne diese ID kann der Angreifer die f\u00fcr die Entschl\u00fcsselung notwendige Information nicht extrahieren. Kurz gesagt: es ist unm\u00f6glich die Daten der Opfer wiederherzustellen.<\/p>\n<h2>Notfall Petya\/ExPetr Webinar<\/h2>\n<p>Um Unternehmen im Kampf gegen die Malware ExPetr zu unterst\u00fctzen, haben unsere Experten ein Notfall-Webinar abgehalten. Juan Andres Guerrero-Saade, Senior Sicherheitsexperte in unserem\u00a0Global Research and Analysis Team (GReAT) und Matt Suice von Comae Technologies haben die neuesten Informationen \u00fcber die Bedrohung vorgestellt und erkl\u00e4rt warum es sich bei ExPetr um keine Ransomware sondern um einen Wiper, der zu Sabotagezwecken genutzt wurde, handelt.<\/p>\n<p><span class=\"embed-youtube\" style=\"text-align:center; display: block;\"><iframe class=\"youtube-player\" type=\"text\/html\" width=\"640\" height=\"390\" src=\"https:\/\/www.youtube.com\/embed\/b4RXy7Qja3I?version=3&amp;rel=1&amp;fs=1&amp;showsearch=0&amp;showinfo=1&amp;iv_load_policy=1&amp;wmode=transparent\" frameborder=\"0\" allowfullscreen=\"true\"><\/iframe><\/span><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Bedeutender Schaden: Kritische Infrastrukturobjete sind Opfer der ExPetr-Attacke (auch bekannt als NotPetya)<\/p>\n","protected":false},"author":2706,"featured_media":13799,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3108],"tags":[2579,274,2578,2575,2577,2576,1969,535,257,2521],"class_list":{"0":"post-13798","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-ausbruch","10":"tag-bedrohungen","11":"tag-epidemie","12":"tag-expetr","13":"tag-kryptomalware","14":"tag-notpetya","15":"tag-petya","16":"tag-ransomware","17":"tag-trojaner","18":"tag-wannacry"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/expetr-for-b2b\/13798\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/expetr-for-b2b\/8718\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/expetr-for-b2b\/4736\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/expetr-for-b2b\/11726\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/expetr-for-b2b\/10752\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/expetr-for-b2b\/13617\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/expetr-for-b2b\/13654\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/expetr-for-b2b\/17896\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/expetr-for-b2b\/3342\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/expetr-for-b2b\/17343\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/expetr-for-b2b\/9223\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/expetr-for-b2b\/6994\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/expetr-for-b2b\/17329\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/expetr-for-b2b\/17538\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/bedrohungen\/","name":"Bedrohungen"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/13798","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=13798"}],"version-history":[{"count":10,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/13798\/revisions"}],"predecessor-version":[{"id":13811,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/13798\/revisions\/13811"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/13799"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=13798"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=13798"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=13798"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}