Ransomware WannaCry: Noch keine Entwarnung

Der am Freitag erstmals gesichtete Kryptotrojaner WannaCry hat am Wochenende erheblichen Schaden angerichtet. Heise.de berichtete bereits am darauf folgenden Samstag, dass über 220.000 Computer in insgesamt 150 Länder befallen seien. Die ersten Spuren der Ransomware wurden wohl in Russland gefunden, von dort aus breitete WannaCry sich rasant aus. Insbesondere Großbritannien wurde schwer getroffen. So meldet das National Health Service (NHS) enormen Schaden. Zahlreiche Rechner seien Blockiert, auf Patientendaten konnte nicht mehr zugegriffen werden, Kranke mussten teilweise in andere Kliniken umgeleitet werden. Patienten berichteten von „chaotischen Zuständen“. Die NHS informiert über den aktuellen Stand auf seiner Webseite.

Aber auch Deutschland wurde nicht verschont. So bestätigte die Bahn gegenüber heise.de, dass Anzeigentafeln ihren Dienst verweigerten. Auch die Videoüberwachung, die die Bahn der Bundespolizei zur Verfügung stellt war betroffen. Die Systeme der Bundespolizei selbst waren jedoch nicht kompromittiert. Einer unserer Mitarbeiter berichtete von hektischem Treiben an den Bahnsteigen. Er selbst befand sich auf der Rückreise eines Geschäftstermins und beobachtete, wie Bahnmitarbeiter mit Zettel und Stift Hinweise notierten, Planänderungen per Papier an die Informationstafeln anbrachten und die Fahrgäste teilweise ziellos von Bahnsteig zu Bahnsteig liefen, da die Anzeigetafeln abgeschaltet waren. Auch die Sprechanlage sei im Dauereinsatz gewesen. Der Bahnbetrieb selbst sei aus Sicht unseres Kollegen jedoch normal verlaufen.

WannaCry gefährlicher als Locky

WannaCry ist der aus 2016 bekannten Ransomware Locky sehr ähnlich. Sie verbreitet sich per E-Mail und verschlüsselt nach dem Öffnen sämtliche Dateien um anschließend ein Lösegeld zu fordern. WannaCry fordert ein Lösegeld von ca. 300 US-Dollar bei Zahlung bis zum 15.05.2017. Danach verdoppelt sich das Lösegeld bis zum 19.05.2017. Sollte bis dahin nicht bezahlt worden sein, werden die Daten endgültig gelöscht. Anders als bei Locky verbreitet sich WannaCry jedoch auch innerhalb des internen Netzwerkes weiter, was die Verbreitung der Ransomware erheblich beschleunigt.

Sicherheitslücke in Windows ausgenutzt

Für die Verbreitung innerhalb des internen Netzwerkes nutzt WannaCry eine Sicherheitslücke im Windows Dateifreigabesystem (SMB) aus, welche Microsoft in seinem Microsoft Security Bulletin MS17-010 als kritisch einstuft. Microsoft hatte die Lücke bereits im März geschlossen, jedoch nur für aktiv supportete Systeme veröffentlicht. Ältere Systeme wie z.B. Microsoft Windows Server 2003 und Microsoft Windows XP blieben zunächst ungeschützt. Am 13.05.2017 hatte Microsoft aber auch für diese nicht mehr supporteten Systeme ein Update nachgereicht.

Da zahlreiche Anwender das automatische Installieren von Updates deaktivieren, bleiben solch brisante Sicherheitslücken meist noch monatelang offen, wie dieser Fall zeigt.

BSI: „Weckruf für Unternehmen“

Arne Schönbohm , Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI) appelliert an den Nutzer:

Die aktuellen Angriffe zeigen, wie verwundbar unsere digitalisierte Gesellschaft ist. Sie sind ein erneuter Weckruf für Unternehmen, IT-Sicherheit endlich ernst zu nehmen und nachhaltige Schutzmaßnahmen zu ergreifen. Die aktuelle Schwachstelle ist seit Monaten bekannt, entsprechende Sicherheitsupdates stehen zur Verfügung. Wir raten dringend dazu, diese einzuspielen.

Das BSI legt bereits seit dem Juli 2016 ein ausführliches Lagedossier zur Bedrohungslage, Angriffsvektoren und Präventionsmaßnahmen zum Thema Ransomware vor.

Killswitch sorgte nur vorrübergehend für Eindämmung

Eher zufällig hatten Sicherheitsforscher vorrübergehend eine Möglichkeit gefunden, die Ausbreitung von WannaCry durch eine Notabschaltung (Killswitch) einzudämmen. Sie hatten ermitteln können, dass die Kryptoware im Hintergrund eine bestimmte URL im Internet ansprechen die jedoch nicht existent war. Die Experten registrierten diese URL. Als der Schädling nun eine Antwort von dieser Adresse bekam, wurde die Verbreitung gestoppt. Allerdings wirkte diese Methode nur vorrübergehend, da inzwischen zahlreiche weitere Varianten von WannaCry aufgetaucht sind. AV-Test berichtet aktuell von 147 verschiedenen Versionen.

Unsere Empfehlungen

Vorsicht bei E-Mails

Walten Sie Vorsicht beim Öffnen von E-Mails. Prüfen Sie genau, ob der Absender vertrauenswürdig ist. Öffnen Sie Dateianhänge mit Bedacht. Im Zweifel ziehen Sie Ihren Systemadministrator zu Rate.

Systeme aktuell halten

Halten Sie Ihre Systeme aktuell. Im vorliegenden Fall sehen wir, dass Microsoft bereits im März Sicherheitsupdates ausgerollt hat, WannaCry dennoch einen extrem hohen Verbreitungsgrad erzielen konnte.

Offline-Backups

Sichern Sie Ihre Daten regelmäßig und verwahren Sie diese Offline. Datensicherungen auf Serverfreigaben können ebenfalls durch Ransomware verschlüsselt werden und somit unbrauchbar werden. Eine Möglichkeit ist das Sichern in die Cloud, wie wir sie in dem Beitrag Veeam – die richtige Lösung für jedes Backup-Szenario beschreiben.

Signaturen aktuell halten

Vergessen Sie Ihre EndPoint Protection und Ihre Firewall Systeme nicht! Auch diese können nur schnell und sicher reagieren, wenn den Systemen die aktuellsten Patches bereitliegen. Oftmals können sie Sicherheitslücken einer Software sogar schließen, bevor es der Softwarehersteller selbst tut.

Überprüfen Sie Ihre SMB-Freigaben

Überprüfen Sie regelmäßig, ob die Berechtigungen Ihrer Dateifreigaben im Netzwerk noch korrekt sind. Erfahrungsgemäß wachsen die Freigaben mit der Zeit, sodass viele Anwender Zugriff auf Verzeichnisse behalten, obschon sie diese lange nicht mehr benötigen.

Fragen?

Sie haben Fragen oder benötigen Unterstützung? Nehmen Sie mit uns Kontakt auf:

..oder senden Sie uns Ihre Nachricht:

0 + 1 = ?

 

Quellen:

heise.de – WannaCry: Was wir bisher über die Ransomware-Attacke wissen

heise.de – WannaCry: gewaltiger Schaden – geringer Erlös

heise.de – Ransomware WannaCry befällt Rechner der Deutschen Bahn

NHS – Advise for Patients

Security Update for Microsoft Windows SMB Server (4013389)

heise.de – WannaCry: BSI ruft Betroffene auf, Infektionen zu melden

BSI – Lagedossier Ransomware

AV-Test

0 Kommentare

Ihr Kommentar

Möchten Sie an der Diskussion teilnehmen?
Tragen Sie gern dazu bei!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.