Weltweite „WannaCry“ Attacke – noch kein Aufatmen möglich

Nach ersten behobenen Schäden wegen "Wanna Cry", der bisher umfassendsten Cyber-Attacke über 150 Länder, scheint eine Tatsache immer deutlicher: Die Blockade vom 12. Mai 2017 auf Computer von der DB, von Renault, FedEx oder Telefonica und weitere Einrichtungen könnte erst der Anfang einer längeren Erpressungsphase bedeuten. Wie könnte man kursierende Trojaner in den Griff kriegen? Eine Checkliste.

Die WannaCry-Ransomware tauchte erstmals am 10. Februar in der Version 1 in sensiblen Einrichtungen auf. Bei der Ransomware-Welle am 12. 5. 2017 nutzen die Angreifer die Version 2.0 der gleichen Schadsoftware. (Bild: Depositphotos)

Bei der „WannaCry“ Attacke vom letzten Freitag, den 12. Mai 2017, nutzte die getarnte Ransomware eine Sicherheitslücke im Microsoft-Betriebssystem Windows aus, über die sie automatisch neue Computer anstecken konnte. Diese „Sicherheitslücke“ im Betriebssystem hatte sich einst der US-Geheimdienst NSA für seine Überwachung aufgehoben, vor einigen Monaten hätten jedoch unbekannte Hacker sie  publik gemacht, wie es in einer Meldung der Deutschen Presse Agentur DPA heisst.

Betroffen von dem Angriff waren Computer auf der ganzen Welt. Sie wurden von sogenannten Erpressungstrojanern befallen, die sie verschlüsseln und Lösegeld verlangen. Microsoft hatte zwar im März die entsprechende Sicherheitslücke geschlossen – geschützt waren aber nur diejenigen Computer, auf denen das Update installiert wurde.

Schweiz bisher verschont geblieben

200‘000 Opfer, 150 Länder,  gegen 50’000 Euro Lösegeld (die Opfer über Bitcoins zu beglichen)- die Zahlen wirken beeindruckend. Beeindruckend deshalb, weil die erste Angriffswelle durch Zufall relativ schnell gestoppt wurde. Doch zum Aufatmen ist es leider noch zu früh, zum einen, weil erst nach und nach das wahre Ausmass bekannt werden wird und zum anderen, weil die Angriffe ohne viel Aufwand wieder gestartet werden können. Mehr lesen Sie hier.

Nach den Erkenntnissen behördlicher Stellen wie Melde- und Analysestelle Informationssicherung MELANI floss bislang nur wenig Lösegeld, in der Schweiz überhaupt keinen Rubel. Die Schweiz ist also für einmal verschont geblieben. Dass anscheinend bei keinem der Betroffenen Daten zurückerstattet wurden, obwohl diese das Lösegeld bezahlt haben, wirft allerdings Fragen über die Absichten de „WannaCry“ Programmierer auf.

Anscheinend verfügen die Versender gar nicht über die Möglichkeiten, die per Ransomware verschlüsselten Daten wieder zu entschlüsseln. Obwohl einige Opfer bereits die erpressten Bitcoins überwiesen haben. Mehr dazu gibt es in der Analyse der Sicherheitsforscher hier.

Experten vermuten, es es wird weitere Attacken geben. Die Anzahl der Angriffsvektoren auf sensible Einrichtungen ist zu gross, so dass die Angreifer nicht einfach aufhören werden. Nach den Erkenntnissen des Sicherheitsunternehmens Check Point wurden vier klar voneinander unterscheidbare Methoden eingesetzt:

1.) Mit dem WannaCryptor werden Unternehmen per direkter Infektion über Server angegriffen.

2.) E-Mails werden mit bösartigen Links eingestreut.

3.) E-Mails enthalten ausserdem bösartige PDF-Anhänge oder aber ZIP-Dateien, die ebenfalls Schadcode-belastete Dateien enthalten.

4.) Darüber hinaus wurden Brute Force-Attacken gegen RDP-Server registriert, die bei Erfolg ebenfalls die Ransomware streuen.

(Mehr Info unter diesem Link)

Betriebliche Gegenmassnahmen

Was vor allem in spanischen und englischen Krankenhäusern passiert ist, weckt Erinnerungen an das Frühjahr 2016, als der Locky-Verschlüsselungstrojaner vor allem in Deutschland sein Unwesen trieb und zu ähnlichen Ausnahme-Situationen führte. Diesmal aber verbreitet sich die Malware wie ein Virus und verteilt sich von einem Rechner über das gesamte Netzwerk auch auf andere Rechner.

Organisationen und deren IT-Abteilungen sollten nun ihre IT-Systeme scannen, potentiell gefährliche Anhänge von E-Mails blocken und versuchen den Schadcode heraus zu filtern. Noch besser ist der Einsatz von speziellen Sicherheitstechnologien zum Filtern von bösartigem Schadcode aus E-Mail-Anhängen, bevor die Mitarbeiter diese öffnen können.

Lösungen zum Erkennen von infizierten Webseiten sorgen ausserdem dafür, dass auch Links in E-Mails gesperrt werden. Auch sind bereits Lösungen verfügbar, die in letzter Instanz auf dem Endpunkt Ransomware erkennen, stoppen und bereits verschlüsselte Dateien automatisch zurückspielen. Hier ein Clip wir wie das funktioniert:

Sind solche Lösungen im Einsatz, dann sind Organisationen vor den Angriffen mit WannaCry & Co. geschützt. Zusätzlich bedarf es aber auch Schulungen der Mitarbeiter, damit sie verdächtige Anhänge erkennen und bei den entsprechenden Stellen wie MELANI melden.

Die Schweizer Melde und Analysestelle MELANI empfiehlt Unternehmen ihre Sicherheitsmassnahmen gegen „WannaCry & Co.“ anzupassen – siehe folgenden aktuellen Link für konkrete Vorgehensweisen  (vorerst nur Englisch formuliert).

 

 

 

 

(Visited 147 times, 1 visits today)

Weitere Artikel zum Thema