Nur wenige Wochen nach Wannacry hat eine neuerliche Welle von Ransomware Unternehmen und Einrichtungen in zahlreichen Ländern befallen. Getroffen hat die Erpressersoftware Firmen und Organisationen von der Schokoladenfabrik Cadbury im australischen Hobart über die Reederei Maersk bis zur Strahlungs-Monitoring-Software in Tschernobyl. Security-Forscher konnten die Ausbreitung und Charakteristik der Schadsoftware aber schnell ermitteln.

Untersuchungen legen laut den Experten von Kaspersky Lab nahe, dass es sich bei der Schadsoftware nicht, wie zunächst vielerorts berichtet und auf Twitter diskutiert, um eine Variante der Petya-Ransomware handelt, sondern um eine neue Ransomware, die zuvor noch nicht aufgetaucht war. Kaspersky nennt den Schädling „Expetr“.

Die telemetrischen Daten deuteten laut Kaspersky Lab zunächst auf etwa 2.000 attackierte Nutzer hin. Organisationen aus Russland und der Ukraine seien am häufigsten betroffen. Treffer habe man aber unter anderem auch in Deutschland, Frankreich, Großbritannien, Italien, Polen und den USA registriert. Derzeit untersuche man noch, ob eine Möglichkeit besteht, die verschlüsselten Daten wiederherzustellen, um schnellstmöglich ein Entschlüsselungs-Tool zu entwickeln.

„Diese aktuelle Ransomware-Angriffswelle ist nur ein weiteres Beispiel für die wirklichen Bedrohungen, denen Organisationen, Regierungen und Länder auf der ganzen Welt ausgesetzt sind“, so Ralf Sydekum, Technical Manager DACH bei F5 Networks. „Diese Angriffe übertreffen die bisherigen Attacken wie Wannacry, indem sie vermehrt auf Bereiche wie das Gesundheitswesen, öffentliche Verwaltung, Postdienste und Transportdienstleister abzielen und Menschen in ihren täglichen Aktivitäten beeinflussen.“

Das von der Ransomware geforderte Lösegeld von umgerechnet 266 Euro erscheine zwar auf den ersten Blick wenig, so Sydekum, es könne aber in kurzer Zeit stark ansteigen. „Die drängendere Frage ist aber, wie die nationale Infrastruktur durch solche Angriffe nachhaltig beeinträchtigt wird“, so der F5-Experte weiter. „Es gibt keine einfache Lösung, mit Ransomware umzugehen. Sobald sich die Aufregung gelegt hat, müssen aber die Gefahrenquellen bestimmt und beseitigt werden.“

Den initialen Angriffsvektor haben Sicherheitsforscher inzwischen ausgemacht: ein gefälschtes Update für die Buchhaltungssoftware des kompromittierten ukrainischen Softwarehauses Medoc. Einen „Kill Switch“ wie bei der ersten Wannacry-Welle gibt es diesmal offenbar nicht.

„Mit dem Eintritt in die neue Welt der IoT und der auf Anwendungsebene vernetzten Geräte vergrößert sich die Angriffsfläche ständig und Attacken nehmen zu“, warnt F5-Mann Sydekum. „Angreifer haben jetzt mehr Möglichkeiten, Daten zu infiltrieren. Deshalb sollte der Fokus mehr auf die Anwendungs- und Datensicherheit gelegt werden. Zudem sollte Cyber-Sicherheit ein integraler Bestandteil unseres täglichen Lebens werden.“

Die Experten von Kaspersky Lab ­– wie auch Forscher zahlreicher anderer Security-Anbieter – raten allen Unternehmen, Updates für Windows-Software schnellstmöglich einzuspielen, ihre Sicherheitslösungen zu überprüfen und zu gewährleisten, dass Backups ebenso wie Lösungen zur Ransomware-Entdeckung zum Einsatz kommen.

Unternehmenskunden von Kaspersky Lab sollten laut Angaben des Herstellers zudem:
* prüfen, ob der komplette Schutzumfang wie empfohlen aktiviert ist und die KSN- beziehungsweise System-Watcher-Komponente aktiviert ist;
* das Applocker-Feature einsetzen, damit eine Ausführung aller Dateien, die „perfc.dat“ im Namen haben, verhindert wird; sowie
* PSExec der Sysinternals Suite einsetzen.

Eine Beschreibung der aktuellen Ransomware-Welle bietet Kaspersky Lab hier: securelist.com/schroedingers-petya/78870/ . Weitere Informationen zu der Ransomware gibt es zum Beispiel bei Cisco Talos, Malwaretech oder auch bei Fireeye.

 

Dr. Wilhelm Greiner ist Stellv. Chefredakteur der LANline.