Über unsMediaKontaktImpressum
27. Juni 2017

Erneut globale Ransomware-Angriffswelle

Bonn, 27. Juni 2017: Aktuell kursiert wieder eine globale Cyber-Angriffswelle mit einer Verschlüsselungssoftware (Ransomware), dies meldet das Bundesamt für Sicherheit in der Informationstechnik (BSI). Nach Erkenntnissen des BSI sind auch deutsche Unternehmen betroffen. Das BSI ruft Unternehmen und Institutionen in Deutschland auf, IT-Sicherheitsvorfälle beim BSI zu melden. Betroffene Unternehmen sollten nicht auf Lösegeldforderungen eingehen.

Das BSI nimmt derzeit technische Analysen vor und prüft den Sachverhalt, auch im Austausch mit nationalen und internationalen Partnern. Auch das Nationale Cyber-Abwehrzentrum (Cyber-AZ), das in ständigem Austausch mit den Beteiligten Behörden steht, nimmt derzeit eine Bewertung der Faktenlage vor. Bezüglich dem Verbreitungsgrad und der Geschwindigkeit weist die Angriffswelle Ähnlichkeiten zum Cyber-Sicherheitsvorfall "WannaCry" im Mai dieses Jahres auf.

BSI-Präsident Arne Schönbohm erklärt dazu: "Nach ersten Erkenntnissen des BSI handelt es sich um eine Angriffswelle mit der Schadsoftware Petya, die unter anderem die gleiche Schwachstelle ausnutzt, die sich auch die Ransomware WannaCry zu Nutzen gemacht hatte. Das Patchen dieser Schwachstelle mit dem seit Monaten verfügbaren Microsoft-Patch hätte in vielen Fällen eine Infektion verhindert. In internen Netzen benutzt Petya zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung und kann damit auch Systeme befallen, die auf aktuellem Patchstand sind. Angesichts der akuten Bedrohungslage rufen wir die Wirtschaft erneut dazu auf, die Risiken der Digitalisierung ernst zu nehmen und notwendige Investitionen in die IT-Sicherheit nicht aufzuschieben."

Das BSI gibt folgende Empfehlungen zum Schutz vor der aktuellen Cyber-Angriffswelle:
 

  • De-Aktivierung der Auto-Update-Funktion der Software MeDoc oder Sperrung der Domain upd.me-doc.com.ua (92.60.184.55)
  • Aufgrund der Ausnutzung der gängigen Administratorenwerkzeuge psexec und wmic sollten die Administratorenrechte überprüft werden:
    • Lokale Administratoren sollten sich nicht über das interne Netz einloggen können
    • Lokale Administratoren dürfen auf unterschiedlichen Rechnern nicht das gleiche Passwort haben.
    • Idealerweise sollte der lokale Administrator deaktiviert sein
  • Netzwerke müssen segmentiert werden
  • Einspielen des Microsoft-Patches MS17-010
  • Aktualisierung der eingesetzten Antiviren-Programme
  • Mit bereits bestehenden Backups können Daten ersetzt werden

Betroffene Unternehmen können sich unter meldestelle@~@bsi.bund.de an das BSI wenden.

HH

Sie möchten zukünftig per Newsletter der Informatik Aktuell informiert werden? Hier können Sie sich anmelden.