Dringende Sicherheitswarnung: Neue Ransomware verschärft Sicherheitslage

Bitte beachten Sie folgende Warnung des CERT-Nord:

Eine neue Ransomware verbreitet sich derzeit weltweit, wobei teilweise davon ausgegangen wird, dass es sich lediglich um eine neue Version des bekannten Schädlings Petya handelt. Vermutlich erfolgt die initiale Verbreitung über schadhafte Office Dokumente in E-Mails, wobei sich die Malware anschließend selbstständig im Netzwerk verbreitet.

Empfehlung: Es sollte darauf geachtet werden, dass normale Anwender keine Schreibrechte auf den Pfad C:\windows besitzen. Bei der Arbeit mit Administratorrechten sollten keine normalen Tätigkeiten wie das Öffnen von Mails und angehängten oder heruntergeladenen Office-Dokumenten durchführen.

 

 

 

betroffene Produkte:

Windows Client und Server

 

Bedrohung:

Zum einen ist eine Bedrohung durch den initialen Angriffsvektor (wahrscheinlich E-Mail) gegeben. Hierbei werden Office Dokumente genutzt, um eine Schadcode- Datei unter C:\Windows anzulegen. Zum anderen nutzt die Malware weitere Methoden (WMI, EternalBlue, PSExec, Mimikatz) zur selbstständigen Verbreitung im lokalen Netzwerk. Dazu zählt u.a. das Auslesen der Passworthashes aus dem Arbeitsspeicher. Dies stellt insbesondere auf Rechnern mit Administratorenkonten ein erhebliches Risiko dar. Je nach lokalen Rechten der Malware wird nach einer bestimmten Karenzzeit und einem Neustart der Master Boot Record, das Dateisystem und/oder alle Dateien verschlüsselt.

 

Empfohlene Maßnahmen:

Standardmaßnahmen im Umgang mit Spammails sind weiterhin aufrechtzuerhalten und Anwender ggf. erneut zu sensibilisieren. Einstellungen zur Makrosicherheit können eventuell zum Schutz beitragen. Des Weiteren sollten User keine Schreibrechte auf C:\Windows erhalten, wodurch eine effektive Gegenmaßnahme gegen den derzeitigen Schädling geschaffen werden kann. Arbeiten mit lokalen Administratorenrechten sollten sehr restriktiv gehandhabt werden. Applocker sollte aktiviert und konfiguriert werden.

Hersteller von Antivirensoftware haben bereits Aktualisierungen herausgegeben, welche umgehend installiert werden sollten.

Das Einspielen aktueller Patches, insbesondere zur Behebung von EternalBlue/MS17-010 sowie des Microsoft-Sicherheitspatches vom Juni, erschweren der Malware eine Verbreitung im Netzwerk.