zurück zur Übersicht

WannaCry – Weltweiter Ransomware-Ausbruch kommt nicht unerwartet

WannaCry ist eine Ransomware. Aber wer rechtzeitig gepatcht hat ist sicher. Im Moment jedenfalls.Es war nur eine Frage der Zeit, bis Hacker versuchen würden, aus den geleakten technischen Informationen zu den von der NSA verwendeten Backdoors Profit zu schlagen. Zwar wurden inzwischen entsprechende Patches ausgeliefert, aber vermutlich noch nicht flächendeckend installiert. In diese Lücke schlägt jetzt die Ransomware WannaCry.

Der weltweite Ransomware-Angriff des Schädlings, der am Freitag den 12. Mai 2017 bekannt geworden ist, trifft Privatanwender wie Unternehmen gleichermaßen mit bisher noch nicht abzusehenden Konsequenzen. Derzeit wird davon ausgegangen, dass Anwender und Institutionen in 75-100 Ländern betroffen sind.

Laut dem Botnet Tracker der Seite Malwaretech wurden seit dem Ausbruch der Malware bereits mehr als 150.000 Systeme befallen.

(Quelle: Malwaretech)

Was ist geschehen?

Weltweit sind Systeme mit der Ransomware Wcrypt/WanaCrypt0r 2.0/WannaCry, einem sogenannten Krypto-Trojaner befallen worden. Dieser verschlüsselt befallene Systeme und gibt einen entsprechenden Hinweis aus, dass Betroffene ihre Daten gegen Zahlung von Bitcoins wieder entschlüsseln können. Einfallspunkt war vermutlich eine von der NSA verwendete Lücke in Windows-Betriebssystemen, die durch den Leak von NSA Dokumenten im März 2017 unter dem Namen EternalBlue bekannt geworden ist.

Microsoft hatte zeitnah über das Security Bulletin MS17-010 Informationen zu dieser Schwachstelle veröffentlicht und Patches bereitgestellt, die die Lücke schließen. Die Verbreitung der entsprechenden Hotfixes scheint allerdings gering zu sein, wie die hohen Infektionszahlen vermuten lassen. iT-CUBE empfiehlt allen Anwendern zu prüfen, ob der Patch bereits eingespielt ist, bzw. umgehend den Patch zu installieren. Durch die hohen Infektionszahlen sah sich Microsoft mittlerweile genötigt, auch entsprechende Patches für Windows Versionen wie XP und Server 2003 bereitzustellen, die eigentlich nicht mehr supportet werden.

Das perfide an WannaCry ist die Tatsache, dass diese Ransomware nicht nur via Email oder bösartigen Websites verbreitet wird, sondern sich über die oben genannte Lücke in der SMB-Implementierung von Windows selbständig verbreitet, ohne dass eine Benutzerinteraktion notwendig ist. Als Workaround in segmentierten Netzwerken kann der Zugriff auf TCP Port 445 eingeschränkt und die Verwendung von SMBv1 deaktiviert werden. Entsprechende IPS-Signaturen helfen ebenfalls die Verbreitung einzudämmen.

So schnell wie möglich patchen!

Wieder einmal zeigt es sich, wie wichtig ein funktionierendes und effektives Patchmanagement ist. Aber auch die Sicherung von Daten durch ein entsprechendes Backup-Konzept ist für die Minimierung der Gefahr durch Ransomware-Angriffe essentiell. Sollte ein PC von der aktuellen Verschlüsselung betroffen sein, so ist lediglich die Neuinstallation zu empfehlen – die Daten sind, bis entsprechende Tools zur Entschlüsselung verfügbar sind – verloren. Es sei denn man zahlt das Lösegeld und trägt dazu bei, dass dieses Geschäftsmodell auch weiterhin hoch profitabel ist. Ob die Entschlüsselung nach Bezahlung jedoch funktioniert, ist keineswegs sichergestellt.

Ominöser Kill Switch stoppt selbständige Ausbreitung von WannaCry

Zwischenzeitlich ist es Sicherheitsforschern gelungen, mehr oder weniger zufällig einen Kill-Switch im Code der Schadsoftware zu finden, der die selbsttätige Verbreitung offenbar ausschaltet. Kommt die Malware zur Ausführung prüft sie die URL eines Command&Control Servers. Die entsprechende Domain war nicht registriert. Seit die Forscher im Rahmen der Analyse diese Domain registriert haben, gehen die Zahlen der Neuinfektionen zurück.

(Quelle: Malwaretech)

Doch die Hoffnung ist trügerisch. Zum einen ist mit neuen Varianten des Schädlings zu rechnen, die den Kill Switch ignorieren, zum anderen lässt dieser Vorfall nur erahnen, welche Ausbreitung eine Ransomware erreicht, die eine Zero-Day-Schwachstelle für die selbständige Ausbreitung benutzt. In diesem Fall wären selbst die Anwender nicht geschützt, die schnell, regelmäßig und umfassend patchen.  Eine solche „wormable“, also für die selbstständige Ausbreitung geeignete Lücke hat der zu Google’s Project Zero gehörende Sicherheitsforscher Tavis Ormandy an Microsoft gemeldet. Diese wurde zwar mittlerweile geschlossen, aber nicht auszudenken, wenn Cyberkriminelle in den Besitz dieser Informationen kommen, bevor Patches existieren. In diesem Fall wären Schutzsysteme die neuartige Schadsoftware erkennen, ohne auf die Erstellung von Signaturen angewiesen zu sein, wie sie bespielweise der Hersteller Cylance anbietet, die einzige „Line of Defense“. Auch im Fall von Wcrypt waren damit gesicherte Systeme nicht betroffen.

Für Privatanwender ärgerlich, für Unternehmen unter Umständen existenzbedrohend

Was für den Privatanwender ärgerlich ist, kann für die Betroffenen Unternehmen zu ernsthaften Problemen führen. Derzeit ist zwar nicht bekannt, dass es ernsthafte Schäden oder gar Personenschäden gibt, aber es ist nicht auszudenken was passiert, wenn Krankenhäuser flächendeckend nicht mehr auf ihre IT-Systeme zugreifen können. Krankenakten, Medikationspläne, etc. sind heute oftmals nur noch digital verfügbar. Zum wiederholten Male sind Krankenhäuser damit zum Ziel von Angriffen geworden.

Weckruf

Es ist oftmals der sorglose Umgang der Anwender mit Daten, der bei diesen Angriffen zu Problemen führt. Warum werden Daten nicht konsequent auf Servern bearbeitet und gespeichert? Servern, die in stark segmentierten und entsprechend geschützen Rechenzentren stehen? Leider muss man hier feststellen, dass dem Anwender oftmals gar keine andere Möglichkeit gegeben ist, als Daten lokal zu verarbeiten, da die entsprechende effektive Unterstützung durch die IT schlicht nicht gegeben ist.

Auch in die Jahre gekommene Malwarescanner sind ein wachsendes Problem. Signaturbasierte Schutzsysteme helfen den Erstbetroffenen grundsätzlich nicht weiter. Bevor eine Signatur erstellt und verbreitet ist, sind oft bereits zigtausende Systeme infiziert. Gegen selbstmutierende Malware sind solche Scanner meistens ebenso chancenlos. Es wäre dringend erforderlich, sich mit Next Generation Endpoint Defence zu befassen, die auf KI-Algorithmen basiert und signaturlos Schadprogramme erkennen kann. (Vergleichstest moderner Malwarescanner zum Beispiel hier).

Eine ganzheitliche Informationssicherheitsstrategie muss nicht nur die Erkennung eines Angriffs sicherstellen können, sondern auch die entsprechende Reaktion und Wiederanlaufplanung bis zum Krisenmanagement abdecken. Prozesse, die nicht mehr nur rein die IT Security betreffen, sondern Umfassend im Unternehmen verankert sein müssen.

1 Kommentar

  • von Sascha Krug am 20.05.2017, 1:18 Uhr

    Guten Tag, damit es hoffentlich kein Problem gibt, nenne ich hier jetzt nicht den Namen, aber es gibt definitiv eine Lösung zu EternalBlue und allen entsprechenden Angriffsszenarien. Kennen Sie unsere Software? Falls nicht, haben Sie interesse einen Bericht über diese zu schreiben? Gruß

Schreibe einen Kommentar