Wenn die Wannacry ransomware Riss durch die Großbritannien und Europa im Mai, es war eine gewisse Logik in dem erhöhten Umfang der Schäden. Ransomware-Angriffe waren nichts neues, aber dieses hatte eine Geheimwaffe, ein ausgereiftes software-exploit bekannt als EternalBlue, herausgegeben von der Shadow Broker im April und vermutlich wurden entwickelt von der NSA. Es war nationalstaatlichen Ebene Waffen wandte sich gegen weiche zivile Ziele, wie raubt eine Kleinstadt-bank mit einem Abrams tank. Wenn du auf der Suche nach Antworten auf, wie es zu verbreiten, so weit, so schnell, Sie musste nicht lange suchen.
Jetzt, knapp über ein Monat später, eine neue Sorte von ransomware zugefügt hat ähnlichen Schaden mit fast keine Feuerkraft. Eine Variante der Petya-Familie von ransomware, das virus infiziert hat Tausende von Systemen auf der ganzen Welt, einschließlich der massiven multi-nationale Konzerne wie Maersk, Rosneft und Merck, aber es ist so mit viel weniger Rohstoff. Petya ist immer noch mit EternalBlue, aber jetzt viele der Ziel-Organisationen sind geschützt, und das auszunutzen, ist weit weniger entscheidend, um die ransomware zu verbreiten. Stattdessen Petya exploits mehr grundlegenden Schwachstellen in der Weise, die wir ausführen, Netzwerke und, viel wichtiger, patches liefern. Sie sind nicht so Auffällig wie ein NSA nutzen, aber Sie sind stärker, und Sie verlassen könnte-Organisationen in einer viel schwierigeren Lage, als Sie versuchen sich zu erholen von der heutigen Angriffe.
Spreads SUPER schnell, sah org 5K-Systeme Treffer in unter 10 Minuten.
Startet den computer neu mit Lösegeld-Nachricht (MBR).
— Dave Kennedy (ReL1K) (@HackingDave) Juni 27, 2017
Wo WannaCry konzentriert sich auf schlecht gepatchte Systeme, Petya scheint am stärksten unter den großen corporate networks, ein Muster, das teilweise erklärt, wie das virus zu verbreiten. Sobald ein einzelner Rechner in einem Netzwerk infiziert wurde, Petya leveraged-Windows-networking-tools wie WMI (Windows Management Instrumentation) und “PsExec” zu infizieren anderen Computern auf dem gleichen Netzwerk.
Beide tools sind in der Regel verwendet für remote-admin-Zugang, aber Sicherheitsexperte Lesley Carhart sagt, Sie sind oft von Angreifern verwendet werden, als ein Weg, um malware zu verbreiten in einem kompromittierten Netzwerk. “Die WMI ist ein super-effektives seitliche Bewegung Methode für Hacker. Es ist Häufig erlaubt und gebaut-in, so selten protokolliert oder blockiert werden, indem Sicherheits-tools”, sagt Carhart. “Psexec ist ein bisschen mehr abgeschrieben und mehr überwacht, aber immer noch sehr effektiv.”