Petya vs. NotPetya – Hornetsecurity erkennt die neueste Modifizierung innerhalb von 56 Sekunden

Petya vs. NotPetya – Hornetsecurity erkennt die neueste Modifizierung innerhalb von 56 Sekunden

Seit gestern Nachmittag verbreitet sich eine modifizierte Version der bekannten Petya-Ransomware. Etliche Firmen weltweit wurden bereits Opfer der Attacke. Hauptziel war nach ersten Erkenntnissen die Ukraine, es waren jedoch auch Firmen in Deutschland betroffen. Die Verbreitung erfolgt wie vor zwei Monaten bei der Ransomware “Wannacry”. Wir haben der Ransomware “NotPetya” auf den Zahn gefühlt

 

Wie der Trojaner WannaCry, der vor zwei Monaten Schlagzeilen machte, verbreitet sich NotPetya durch die Sicherheitslücke EternalBlue per SMB und nicht, wie Petya im Vorjahr, durch gefälschte Bewerbungsmails mit Downloadlink zur Petya-Ransomware. NotPetya ist eine Modifizierung der „alten“ Petya Ransomware und verfügt über zusätzliche Fähigkeiten, um sich von einem infizierten Computer im lokalen Netzwerk auszubreiten.

 

Die Ransomware verwendet PsExec und Windows Management Instrumentation, um auf andere Systeme im Netzwerk zuzugreifen. Um diese Programme zu benutzten, benötigt das Schadprogramm Administrationsrechte und durchsucht dafür den Computer nach Passwörtern im Arbeitsspeicher und im lokalen Dateisystem.

 

Advanced Threat Protection von Hornetsecurity erkannte die Ransomware bereits nach 56 Sekunden Ausführungszeit in der gesicherten Sandbox-Umgebung als Modifizierung der Petya-Familie.

NotPetya wird durch Hornetsecurity ATP bereits nach 56 Sekunden erkannt

 

Im Rahmen der statischen Codeanalyse von Hornetsecurity wurde trotz der starken Codeveränderungen gegenüber dem „klassischen“ Petya die Malware-Familie korrekt erkannt. Somit ist NotPetya eher ein „NewPetya“.

 

Live-Mitschnitt der ATP Verhaltensanalyse von NotPetya: Der schädliche Teil von NotPetya wird automatisiert nach Reboot ausgeführt