kgborn
Jun 27, 2017, updated at Jun 29, 2017 (UTC)
view2938
view11
3
Goto Top

Achtung: Petya Ransomware befällt weltweit Systeme

GermanGeneralViruses, TrojansSecurity
Obacht für Admins - scheint sehr heftig zuzugehen. Die Zentrale der Baiersdorf AG scheint es getroffen zu haben. PetyaWrap ist ein modifiziertes Petya, welches mutmaßlich das ETERNALBLUE Exploit zur Verbreitung über die SMBv1-Lücke im Netzwerk nutzt. Einige Virenscanner erkennen den Schädling bereits.

http://www.borncity.com/blog/2017/06/27/achtung-petya-ransomware-befllt ...
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 341776

Url: https://administrator.de/contentid/341776

Printed on: April 25, 2024 at 03:04 o'clock

11 Comments
Latest comment
Goto Top
Member: mrtux
mrtux Jun 27, 2017 updated at 20:32:28 (UTC)
Goto Top
Hi!

Bei allem Respekt aber wer jetzt immer noch Systeme mit SMBv1 Lücke im Firmennetzwerk hat (womöglich im selben Segment), der sollte besser die Finger von so was lassen, weil entweder - kein Bock, kein Plan oder gar beides.

mrtux
Member: LordGurke
LordGurke Jun 27, 2017 updated at 19:36:33 (UTC)
Goto Top
Wer den Trick anwandte, um über die "POS-Edition" von Windows XP noch an Updates zu kommen:
So richtig zu helfen scheint das ja nun nicht gerade: https://twitter.com/MaximEristavi/status/879712719535996928 face-wink
Immerhin, da könnten die Kunden zusammenlegen und die Rechner wieder entsperren...
Member: Dani
Dani Jun 27, 2017 updated at 20:47:47 (UTC)
Goto Top
Moin,
Bei allem Respekt aber wer jetzt immer noch Rechner mit SMBv1 Lücke im Firmennetzwerk hat, der sollte besser die Finger von so was lassen, weil entweder - kein Bock, kein Plan oder gar beides.
es ist leider nicht so einfach wie sich das viele vorstellen. Je nach Größe, Vielzahl von Fachanwendungen/Rechnern/Servern, diverse Schnittstellen und und kann sowas viele Monate dauern. Abgesehen von notwendigen Personalressourcen sowohl bei den Kunden als auch Herstellern, wo die Entwickler evtl. außerplanmäßig Anpassungen entwickeln müssen.

Einen kl. Ausblick gibt Microsoft in einem Blogartikel wo standardmäßig SMBv1 noch genutzt werden kann bzw. wird. Da sind einige namhafte Hersteller dabei. Falls ihr ein Produkt von einem der aufgeführten Hersteller einsetzt, mach dir den Spaß und erstelle einen Support Case. Ich bin gespannt, was man dir erzählt...


Gruß,
Dani
heart2
Member: kgborn
kgborn Jun 27, 2017 at 21:50:02 (UTC)
Goto Top
Ergänzend zu den restlichen Postern: Es ist leider nicht so schön schwarzweiß, wie die Leute es gerne hätten.

Inzwischen kristallisiert sich heraus, dass nach der Erstinfektion (Vektor unbekannt) zwar auch die SMBv1-Lücke über ETERNALBLUE zur Verbreitung im Netzwerk verwendet wird.

Es wird aber auch PsExec heruntergeladen und im Verbund mit WMIC genutzt, um per Accounts auf Netzwerkressourcen zuzugreifen. Zudem gibt es Vermutungen, dass Zugangscredentials aus dem Speicher ausgelesen und an Server übertragen werden. Ein Patchen der SMBv1-Lücke scheint nicht auszureichen.

Aktuell gibt es die Empfehlung, administrative Netzwerkfreigaben per GPO zu deaktivieren. Mittlerweile erkennen gängige AV-Lösungen den Trojaner.
Member: mrtux
mrtux Jun 27, 2017, updated at Jun 29, 2017 at 13:11:34 (UTC)
Goto Top
Zitat von @Dani:
es ist leider nicht so einfach wie sich das viele vorstellen. Je nach Größe, Vielzahl von
Dessen bin ich mir durchaus bewusst aber man kann zumindest versuchen, die Systeme "kurzfristig" aus der Schusslinie zu bringen. Gerade die Problematik bei älteren Kassensystemen habe ich zu genüge aber die Firmen verdienen doch auch ihr Geld damit und dann sollten die Entscheider in den Firmen, gerade in dem Bereich, auch nicht immer so auf den Cent schauen, wie ich das immer wieder erlebe, so nach dem Motto: "Haja des had ja mol ah Haufä koscht, missmer erschtmol so lassä..."

Momentan empfehlen viele Steuerberater ihren Mandanten neue Kassensysteme anzuschaffen und komischerweise, wenn Worte wie "Finanzamt", "Buchprüfer", oder "zertifizierte Kassensysteme" fallen, werden eher neue Systeme angeschafft, als wie wenn der Begriff IT- Sicherheit fällt.

Ich finde, auch das gehört zu den Aufgaben eines Admins, nämlich mit allem gebotenem Nachdruck, die Kunden, Chefs usw. über die Gefahren aufzuklären, wenn man bei der IT Sicherheit schlampt oder was ich viel schlimmer finde, (oft meist auch noch unbegründet) herumgeknausert wird, sowas rächt sich...Und mit meinen Kommentar war auch nicht unbedingt nur der kleine Admin gemeint sondern gerade auch der IT-Entscheider.

mrtux
heart1
Member: brammer
brammer Jun 28, 2017 at 07:49:52 (UTC)
Goto Top
Hallo,

aktuell scheinen ja jede Menge Unternehmen betroffen zu sein...

In den einschlägigen Berichten werden ein paar große Firmen genannt....

MAERSK
Beiersdorf
Rosneft
Merck
DLA Piper
Mondelez
WPP
Saint Gobain

In der Ukraine sind wohl diverse Banken, das Regierungsnetz, Ölfirmen, ein Mobilfunkprovider und Das Atomkraftwerk Tschernobyl betroffen.

https://www.heise.de/security/meldung/Rueckkehr-von-Petya-Kryptotrojaner ...
https://www.golem.de/news/petya-ransomware-maersk-rosneft-und-die-ukrain ...
http://www.spiegel.de/netzwelt/web/cyberattacke-ermittlungen-nach-petya ...

Mal abwarten was da noch so alles kommt....

ich glaube ich gehe ins Wochenende....

brammer
Member: DerWoWusste
DerWoWusste Jun 28, 2017 updated at 08:44:07 (UTC)
Goto Top
Es wird aber auch PsExec heruntergeladen und im Verbund mit WMIC genutzt, um per Accounts auf Netzwerkressourcen zuzugreifen.
Das geht nur mit Konten, die remote Adminrechte haben...
Zudem gibt es Vermutungen, dass Zugangscredentials aus dem Speicher ausgelesen und an Server übertragen werden.
...und diese werden so besorgt - auch dafür braucht man lokale Adminrechte. Welche Fehler haben die Admins also dort gemacht, wo dies passiert:
A sie haben den Nutzern lokale Adminrechte gewährt
B sie haben Ihre starken Credentials (Supportadminkonten, die global Admin sind oder gar Domänenadminkonten) auf Nutzerrechnern verwendet
C Sie haben dort das Caching dieser Kennwörter zugelassen (Cachedlogonscount >1)

Alles Dummheiten, die man nicht machen darf, schon gar nicht in Kombination. Das lässt immer tief blicken, wie schlecht die Admins selbst in solchen großen Unternehmen oder Regierungsnetzwerken arbeiten.
Member: KMUlife
KMUlife Jun 28, 2017 at 13:38:26 (UTC)
Goto Top
Zitat von @DerWoWusste:

...und diese werden so besorgt - auch dafür braucht man lokale Adminrechte. Welche Fehler haben die Admins also dort gemacht, wo dies passiert:
A sie haben den Nutzern lokale Adminrechte gewährt

Hey DWW, wie handhabt ihr das denn, bei z.B. Entwicklernotebooks.
Wir haben bei uns Entwickler, welche etliche Programme installieren/deinstallieren müssen, Builds erstellen, das System verändern usw.. Gibst du denen ein zusätzliches Konto an ala 'localadmin_user' und fügst es beim Gerät hinzu?

Wenn Sie zusätzliche Software installieren müssen, dass Sie dann diesen Acc. nehmen müssen? Oder wie handhabt ihr das? Ich habe mir auch schon mehrere solcher Szenarien überlegt, viele "Tipps" sehe ich aber in einer Entwicklerabteilung als nicht umsetzbar an.

LG
KMUlife
Member: brammer
brammer Jun 28, 2017 updated at 13:59:04 (UTC)
Goto Top
Hallo,

@KMUlife

Hey DWW, wie handhabt ihr das denn, bei z.B. Entwicklernotebooks.
Wir haben bei uns Entwickler, welche etliche Programme installieren/deinstallieren müssen, Builds erstellen, das System verändern usw.. Gibst du
denen ein zusätzliches Konto an ala 'localadmin_user' und fügst es beim Gerät hinzu?

Bitte in einem neuen Thread Anfragen das führt hier nur zu durcheinander!

c Hier gab es übrigens auch eine Diskusison zum Thema Admin/ Domänen Accounts

brammer
Mitglied: 114685
114685 Jul 04, 2017 at 22:54:21 (UTC)
Goto Top
Hi,

Zitat von @Dani:
wo standardmäßig SMBv1 noch genutzt werden kann bzw. wird. Da sind einige namhafte Hersteller dabei. Falls ihr ein Produkt von einem der aufgeführten Hersteller einsetzt, mach dir den Spaß und erstelle einen Support Case. Ich bin gespannt, was man dir erzählt...

Aus der Info zum neuen Build 16266:
Bei den Enterprise- und Education-Versionen von Windows 10 wird SMB1 sogar vollständig entfernt.

Da kommt Freude auf. face-smile

Gruß
Mitglied: 114685
114685 Jul 04, 2017 updated at 23:01:59 (UTC)
Goto Top
Zitat von @brammer:
aktuell scheinen ja jede Menge Unternehmen betroffen zu

Milka (Mondelez-Konzern) geht die Schokolade aus ... face-smile
GermanGeneralViruses, TrojansSecurity
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 CommentsjstrickerWireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments