In mehreren Ländern sind Behörden und Konzerne offenbar Opfer einer Welle an Infektionen mit dem Erpressungstrojaner Petya geworden. Der Antiviren Herstelle Avira bestätigt, dass gegenwärtig eine Angriffswelle mit dem Erpressungstrojaner Petya läuft, für die die Lücke namens „Eternal Blue“ ausgenutzt wird. Diese Sicherheitslücke in Windows Dateifreigaben (SMB) kam schon bei WannaCry zum Einsatz.

Mitlerweile gibt es bereits zahlreiche bestätigte Infektionen, wie:
Die dänische Redeerei Maersk hat derweil erklärt, die IT-Systeme seien an mehreren Standorten lahmgelegt, weitere bekannte Betroffene sind unter anderem die Urkainische Nationalbank, Kiews Flughafen, Rosneft, Nivea.

Von dem Angriff sind auch Computer des 1986 havarierten Kernkraftwerks Tschernobyl betroffen. „Aufgrund der temporären Abschaltung der Windows-Systeme findet die Kontrolle der Radioaktivität manuell statt“, teilte die Agentur für die Verwaltung der Sperrzone mit. Alle technischen Systeme der Station funktionieren aber normal, hieß es.

Während sich immer mehr Unternehmen als betroffen herausstellen, hat die Analyse des Angriffswerkzeugs begonnen. Wie das BSI in Deutschland bestätigte, setzt die neue Variante von Petya auf die vom WannaCry-Angriff bekannte Lücke zum Einfall in ein Netzwerk: „In internen Netzen benutzt Petya zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung und kann damit auch Systeme befallen, die auf aktuellem Patchstand sind.“

Die Angriffswege sind derweilen noch nicht alle bekannt, vermutlich spielt aber Email wieder eine Zentrale Rolle! Wir raten deshalb zur BESONDEREN VORSICHT bei Zweifelhaften oder Auffälligen Emails! Öffnen Sie KEINE Email Anhänge und klicken Sie auf KEINE Links!

Wir von Blucon arbeiten schon seit dem letzten Globalen Ransomware Angriff an einem Backupsystem welches nicht nur die Server, sondern alle Rechner in einem Netzwerk auch während der Benutzung Kontinuierlich einem Backup unterziehen kann. Somit können ALLE bei einem Verschlüsselungstrojaner Angriff betroffenen Computer in kürzester Zeit wiederhergestellt werden.
Das System befindet sich in den letzten Tests und wird Anfang Juli für den Einsatz freigegeben, weitere Informationen finden Sie in den „BLUCON NEWS“

Quelle Ransomware: HEISE

Großbritannien schwer getroffen

Nach bisherigen Erkenntnissen hat sich der Schädling am Freitag zunächst in Russland ausgebreitet und dann schnell auch in anderen Ländern verbreitet. Es sind vor allem ältere Windows-Versionen betroffen, die nicht mehr mit Sicherheits-Updates versorgt werden. Besonders schwere Folgen hatte das in Großbritannien, wo WannaCry zahlreiche Rechner des National Health Service (NHS) befallen hat und die staatliche Gesundheitsversorgung massiv gestört ist.

Verschiedene Firmen wie: Nissan, Renault mit Niederlassungen in Frankreich meldeten Ausfälle durch Angriffe, in Spanien und Portugal sind zum Beispiel die großen Netzbetreiber Telefónica und Telecom betroffen. Aus den USA meldet der Logistikriese FedEx eine Infektion. In Deutschland hat es bisher vor allem die Deutsche Bahn erwischt, deren Anzeigesysteme auf vielen Bahnhöfen ausgefallen sind.

Malware verbreitet sich im Netzwerk weiter

Dass die Ransomware sich so schnell verbreiten kann, liegt offenbar auch daran, dass sie sich wie ein Wurm im Netzwerk verbreitet. In einem großen Netzwerk kann demnach ein einziger verwundbarer Rechner ausreichen, um andere PCs über das interne Netzwerk zu infizieren. Die Ransomware droht damit, die Daten endgültig zu zerstören, wenn nicht innerhalb von sieben Tagen gezahlt wird.

Nach bisherigen Erkenntnissen nutzt WannaCry zwei Angriffsvektoren: Einmal verbreitet er sich – wie bei Kryptotrojanern üblich – per E-Mail. Doch wenn der Schädling ein Sytem infiziert hat, versucht er auch, wie ein Wurm andere Rechner im gleichen Netz zu kompromittieren. Dafür nutzt WannaCry offenbar eine Lücke in Windows Dateifreigaben (SMB).

Microsoft hatte die verantwortliche Sicherheitslücke bereits im März durch Sicherheits-Updates geschlossen. Diese Patches liefert der Hersteller jedoch nur für die aktiv unterstützten Windows-Versionen. Ältere Windows-Versionen blieben also weiter ungeschützt – dazu gehören insbesondere Windows XP und Windows Server 2003.
Manche Anwender schalten allerdings die automatische Installation von Sicherheits-Updates ab, was dazu führt, dass derartige Lücken offen bleiben.

Unbedingt Patchen!

Nutzer sollten Windows-Sicherheitspatches grundsätzlich immer installieren. Wer Microsofts Sicherheitsupdate MS17-010 noch nicht eingespielt hat, muss das jetzt nachholen.

Server- und Netzwerksysteme von Firmen die über einen System und Wartungsvertrag von uns verfügen wurden bereits nach Freigabe des Microsoft Patch im März gegen diese Lücke abgesichert. Somit sind diese Serversysteme nicht betroffen. Wir bitten aber alle Mitarbeiter dennoch beim Email Verkehr KEINE Anhänge unbekannter oder Verdächtig erscheinenden Email Adressen zu Öffnen, auch KEINE „PDF“ Dateien!

Sollten Sie Zweifel an einer Email haben, kontaktieren Sie uns bitte unverzüglich BEVOR Sie den Anhang öffnen!
Wir können Ihnen meist unverzüglich darüber bescheid geben ob die Email Gefährlich ist oder nicht!

Quelle: heise.de, golem.de

Microsoft Windows kann sich an über das Netzwerkprotokoll Server Message Block (SMB) verschickten Datenverkehr verschlucken und abstürzen. Das kommt zum Einsatz, um sich etwa mit Netzwerkfreigaben zu verbinden. Im schlimmsten Fall könnten Angreifer sogar Schadcode auf Systeme schieben und mit Kernel-Rechten ausführen, warnt das renommierte CERT der Carnegie Mellon University (CMU). Der Schweregrad der Lücke ist mit dem höchsten CVSS Base Score 10 eingestuft.

Von dem Sicherheitsproblem sollen Windows 8.1, 10 und Windows Server 2012, 2016 betroffen sein.

Der Angriff kann von einem bösartigen Server übers Netz erfolgen, mit dem sich ein Windows-System verbinden will. Ein solcher Verbindungsversuch lässt sich etwa durch das Öffnen einer Ressource auf einem Netzwerk-Laufwerk auslösen. Der Angriff erfordert keine Anmeldung auf dem Server.

Noch kein Patch in Sicht

Microsoft hat bislang noch kein Security Update veröffentlicht, gerüchten zufolge soll aber am Februar Patchday (zweiter Dienstag des Monats) am 7. Februar ein Patch erscheinen.
Wir raten Dringend bei Systemen die über keine Internetverbindung verfügen oder bei denen Updates zurückgehalten werden den Patch nach erscheinen unverzüglich einzuspielen!

Quelle: HEISE

Der Krypto Trojaner „STAMPADO“ ist gerade stark im Umlauf! Stampado tauchte erstmals Mitte Juli auf. Die Ransomware ist in Untergrund-Foren zum Spottpreis erhältlich was den rapiden anstieg der Infektionen erkläen könnte. Die Ransomware Verschlüsselt sogar bereits durch andere Trojaner verschlüsselte Dateien. Neben Privaten Daten wie Fotos und Musik werden auch alle Office Dokumente Verschlüsselt. Bitte achten sie jetzt besonders auf Auffällige Emails von Anbietern wie Telecom, SDA usw. und klicken Sie niemals auf einen Link in einem Email.

Sollten sie sich Stampado bereits eingefangen haben, können Sie aber bereits aufatmen. Wir bei Blucon verfügen bereits über die Technischen möglichkeiten Stampado zu entschlüsseln.