Ransomware: WannaCry befällt hunderttausende Rechner

Über 200.000 Systeme in 150 Ländern hat der Erpressungstrojaner »WannaCry« innerhalb weniger Tage befallen. Die Software tauchte Heise.de zufolge am Freitag zunächst in Russland auf und verbreitete sich von dort schnell weiter. Die hohe Ausbreitungsgeschwindigkeit des neuen Krypto-Trojaners erklärt sich dadurch, dass er selbstständig neue Computer infiziert. »WannaCry« verschlüsselt befallene Computer und fordert von den Betroffenen ein Lösegeld in Höhe von 300 US-Dollar. Im Vergleich ist das eine relativ moderate Forderung, wie Daten von Symantec zeigen. Dem Internet Security Threat Report des Anbieters von Sicherheitssoftware zufolge, mussten Betroffen von Ransomware vergangenes Jahr im Schnitt 1.007 US-Dollar zahlen, um wieder an ihre Daten zu kommen. Mathias Brandt

https://de.statista.com/infografik/9388/daten-zu-wannacry-und-ransomware/


 

WannaCry nicht überall erfolgreich

Ransomware-Angriff ab der ersten Schadmail abwehren.

 

In über 150 Ländern verursachte WannaCry teils schwere Schäden: Bei der weltweit laufenden Angriffswelle, der unter anderem der englische NHS, der Autobauer Renault, aber auch einige Systeme der Deutschen Bahn zum Opfer fielen, nutzten die Angreifer gleich mehrere Schwachstellen aus. Hornetsecurity Advanced Threat Protection konnte die gefährliche Ransomware-Attacke allerdings von der ersten Schad-E-Mail an erkennen und unterbinden.

WannaCry ist eine Erpressersoftware, die per E-Mail in dem Umlauf kommt und darüber verbreitet wird. Ist sie auf einem lokalen Gerät aktiviert, verschlüsselt sie die dort befindlichen Dateien. Anschließend werden Benutzer dazu aufgefordert, eine Lösegeldzahlung zu leisten, um den Entschlüsselungscode zu erhalten, wovon Sicherheitsexperten jedoch abraten. Im Fall von WannaCry nutzt die Malware einen Exploit aus, der ursprünglich vom amerikanischen Geheimdienst NSA entwickelt wurde und den eine Hackergruppe namens »Shadow Broker« entdeckte und veröffentlichte.

Das Perfide an WannaCry ist, dass die Schadsoftware eine Schwachstelle in Microsofts »Server Message Block (SMB) Protocol« ausnutzt, um sich wurmartig weiter zu verbreiten und etliche andere Computersysteme zu infizieren. Auf diese Weise erreichte WannaCry erst den sehr hohen, weltweiten Verbreitungsgrad. WannaCry setzt auf das veraltete Windows XP Betriebssystem, das immer noch häufig anzutreffen ist. Ursprünglich stellte Microsoft als Hersteller keine Sicherheitsupdates mehr für Windows XP bereit, änderte dies jedoch hastig, nachdem WannaCry einen solchen Erfolg aufweisen konnte.

Advanced Threat Protection (ATP) hat die neuartig auftretende Ransomware bereits beim ersten Auftreten durch dynamische Pattern-Analysen in der Sandbox erkannt und unter Quarantäne gestellt. Weitere Analysen von WannaCry durch die Security-Spezialisten von Hornetsecurity ergaben, dass die Software eine DOUBLEPULSAR Backdoor Variante installiert, mit der sie schadhaften Code einschleust. Anschließend verschlüsselt das Programm die unterschiedlichsten Dateien und versieht diese mit der zusätzlichen Dateiendung ».wncry«, also zum Beispiel die Datei finanzen.xlsx in finanzen.xlsx.wncry. Die Dateien sind für den Benutzer damit unbrauchbar. Gleichzeitig werden Infizierte Hosts Teil eines Botnetzes, das aus dem TOR Netzwerk gesteuert wird.

Tipps

Hornetsecurity empfiehlt die folgenden Maßnahmen, um sich vor einer Infektion zu schützen: Unternehmen und Personen, die noch das Betriebssystem Windows XP nutzen, sollten unbedingt den von Microsoft bereitgestellten Patch verwenden und das System aktualisieren. Besser noch ist ein Schwenk auf neuere Betriebssysteme mit aktiven Sicherheitsupdates (mindestens MS17-010). Zudem sollten Unternehmen ihre Firewall dahingehend anpassen, um den eingehenden SMB Traffic an Port 445 sowie den ausgehenden TOR Traffic im Unternehmensnetz zu blockieren. Generell raten die Sicherheitsexperten E-Mails mit Rechnungen genauestens zu überprüfen und in solchen E-Mails verlinkte Office-, Skript- oder ausführbare Dateien (portable executable, PE) vor dem Öffnen mindestens mit dem Virusscanner zu überprüfen. Mit dem URL Rewriting und URL Scanning bietet ATP einen Service für die tiefgehende Analyse von URLs in E-Mails – als Rundumschutz vor neuartigen Gefahren.

 


 

Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden. Diese Auswahl wurde von Menschen getroffen und nicht von Algorithmen.

 

Ransomware nimmt kritische Infrastrukturen ins Visier – Ausfallzeiten durch Cyberangriffe

Ransomware und Co: Deutschland als Gefahrenherd

Data Breach Investigations Report 2017: Cyberspionage und Ransomware-Angriffe auf dem Vormarsch

Drei Schutzmaßnahmen durch Data Management gegen Ransomware

Gezielte Ransomware-Attacken gegen Unternehmen

Ransomware: Monitoring- und Detection-Funktionen spüren Anomalien auf

Isolated Recovery & Ransomware – wahre Kosten und realer Nutzen

Infografik: 2016 das Jahr der Ransomware

Konvergente Datenmanagement-Plattform: Ransomware-Angriffe laufen ins Leere

Leaks und Ransomware weiter im Aufwind – 3 zentrale IT-Bedrohungsszenarien in 2017

Weitere Artikel zu