WannaCry-Attacke: kein Grund zum Heulen

Tipps, wie man nicht zum Erpressungsopfer wird.

Die weltweite Attacke der Erpresser-Malware WannaCry hat am Freitag zahlreiche Unternehmen und andere Anwender erschüttert. Mehr als 200.000 Rechner wurden in 150 Ländern angegriffen und deren Daten unzugänglich gemacht, unter anderem von Krankenhäusern und Telekommunikationsanbietern. In Deutschland war beispielsweise die Deutsche Bahn von dem Ransomware-Schädling infiziert. Den Betroffenen sollten zwischen 300 und 600 US-Dollar zahlen, um ihre Daten entschlüsseln zu können. Die Hacker, die derzeit noch unbekannt sind, stellten darüber hinaus ein Ultimatum: Sämtliche Daten des Users würden gelöscht, sollte keine Zahlung erfolgen.

Die Gefahr, die von dieser Ransomware-Version ausgeht, ist nach wie vor sehr hoch: Zum einen waren am Freitag bereits viele Unternehmensrechner nicht mehr aktiv und laufen nun Gefahr, am Montagmorgen infiziert zu werden, zum anderen verhält sich WannaCry wie ein Wurm und kann sich leicht weiterverbreiten, da es eine Schwachstelle des SMB-Protokolls nutzt. Darüber hinaus gibt es derzeit keinen frei verfügbaren Entschlüsselungscode. Experten befürchten weitere Angriffe.

Acronis hat seine Backup-Software sowohl für Consumer als auch für Unternehmen gegen ebensolche Bedrohungen abgesichert. Die Funktion Active Protection erkennt ungewollte Aktionen auf dem Rechner und blockt diese ab. Beschädigte Dateien werden sofort aus dem Backup wiederhergestellt, so dass der Anwender beziehungsweise der Computer keinerlei Schaden erleidet. Heuristische Mustererkennung macht es möglich, dass nicht nur bekannte Schadsoftware, sondern eben auch völlig neue Varianten von Active Protection entdeckt werden.

»Viele Anwender und Unternehmen denken sich, dass ihnen eine solche Attacke nicht passiert«, erklärt Nikolay Grebennikov, Vice President Engineering bei Acronis. »Fakt ist, dass jeder angreifbar ist. So wurde die spanische Telefonica zum Beispiel von einer sehr aggressiven Version des Wcry angegriffen. Im letzten Jahr wurden rund 47 Prozent der Unternehmen weltweit von Ransomware attackiert und diese Zahl steigt weiter an. Unternehmen und öffentliche Einrichtungen müssen sich die Frage stellen, wie sie ihre Daten vor einem Ransomware-Angriff schützen können. Die Antwort ist einfach: Mit einer zuverlässigen Backup-Lösung, die auch Ransomware-Schutz umfasst.«

 

Mit ein paar Tipps sicher vor Datenerpressung

Ransomware-Angriffe scheinen unvermeidbar. Deswegen sollte sich jeder Anwender und jedes Unternehmen gegen mögliche Angriffe durch Schadsoftware wappnen. Dafür reichen ein paar einfache Maßnahmen, die sich einfach umsetzen lassen.

  1. Halten Sie das Betriebssystem immer auf dem aktuellen Stand. Updates sind dafür konzipiert, die neusten bekannten Schädlinge abzuwehren und Schwachstellen zu schließen.
  2. Öffnen Sie keine Mails von Unbekannten oder angehängte Dateien, deren Quelle Sie nicht kennen. Nach wie vor ist das die populärste Verbreitungsart von Ransomware.
  3. Sichern Sie Ihre Daten durch regelmäßige Backups. Die Intervalle der Backups hängen davon ab, wie viele neue Daten Sie pro Tag erzeugen und auf wie viele Sie bei einem Datenverlust verzichten können, ohne Ihr Geschäft zu schädigen. Das Backup sollte die Betriebssysteminformationen umfassen. Darüber hinaus müssen auch die Backup-Daten abgesichert sein, denn einige Ransomware-Versionen attackieren auch diese Daten.
  4. Nutzen Sie sichere Cloud-Angebote für zusätzliche Sicherheit. Angebote wie Acronis Cloud Storage können zusätzlichen Schutz bieten und weitere Backup-Versionen extern vorhalten.

 

Am wichtigsten ist es allerdings, Unternehmen und Privatnutzer von Rechnern über die Gefahren von Ransomware zu informieren. Denn nur informierte Anwender können sich nach entsprechenden Lösungen umsehen, die ihre Daten effektiv schützen.

 


 

Schutzmaßnahmen gegen WanaCrypt0r-Ransomware

Verhaltensbasierte Malwareerkennung durch künstliche Intelligenz schützt auch wenn Patches nicht installiert wurden.

 

Vectra Networks weist vor dem Hintergrund des groß angelegten WanaCrypt0r-Ransomware-Angriffs erneut darauf hin, wie wichtig ein Umdenken in der Cybersicherheit ist. Statt sich auf ein spezifisches Tool oder eine bestimmte Malware zu konzentrieren, ist es viel effektiver, das Verhalten eines Angreifers zu erkennen und zu interpretieren.

Der aktuelle Ransomware-Angriff breitete sich sehr schnell auf nicht gepatchten Windows-Systemen weltweit aus. Gingen Sicherheitsexperten zunächst davon aus, dass nur die britische Gesundheitsbehörde National Health Service (NHS) betroffen ist, wurde während des Tages deutlich, dass es sich um einen globalen Angriff handelt. Verschiedene Quellen gehen von mehr als 200.000 Infektionen in rund 150 Staaten aus – innerhalb von nur zehn Stunden. Die geforderten Lösegeldzahlungen sollen – wie bei Ransomware-Angriffen üblich – mit Bitcoin erfolgen.

Wie ist ein solch massiver Angriff möglich?

Die Hacker-Gruppe Shadow Brokers hat eine Vielzahl von Tools öffentlich zugänglich gemacht, so jeder in der Lage ist, eine Datei herunterzuladen, um Hacking-Aktivitäten auszuführen. Das Angebot umfasst kompilierte Binärdateien für Exploits von Schwachstellen in verschiedenen Windows-Betriebssystemen wie Windows 8 und Windows 2012. Dabei soll es sich um Hacking-Tools handeln, die zuvor bereits von der NSA verwendet wurden.

Eine der Windows-Schwachstellen im Cache wird als EternalBlue bezeichnet. Dabei nutzen die Angreifer einen Remote-Code-Execution-Bug in Windows 7 und Windows 2008 mithilfe von Server Message Block (SMB)- und NetBT-Protokollen aus. Die genutzte Schwachstelle ermöglicht die ferngesteuerte Ausführung von Programmcode, wenn ein Angreifer speziell erstellte Nachrichten an einen Microsoft Server Message Block 1.0 (SMBv1)-Server sendet. Ein genauerer Blick auf den Ransomware-Code zeigt Indizien, dass dieser den Exploit EternalBlue nutzt.

Wie dringt die Malware ein?

Für den Weg der Malware in die betroffenen Netzwerke gibt es verschiedene Möglichkeiten: Es könnte ein Phishing-Angriff, ein Watering-Hole-Angriff oder eine bereits infizierte Maschine sein, die Teil eines Botnets ist, das von den Angreifern gekauft oder gemietet wurde, um die Ransomware zu verbreiten. Dazu müssen die Angreifer nur den Computer einer Person in einem Netzwerk über einen Phishing-Angriff infizieren. Dann können sie die Schwachstelle ausnutzen (Exploit), um die Malware über das Netzwerk auf andere Windows-Computer zu verbreiten.

Ein Benutzer kann sich somit nicht immer dadurch schützen, indem er vorsichtig ist und keine Phishing-E-Mail aus einer unbekannten Quelle oder kein verdächtiges Dokument öffnet.

Sehr schnelle, globale Verbreitung

Angesichts der Geschwindigkeit und des Ausmaßes der Angriffe, scheint es wahrscheinlich, dass sich die Angreifer über einen Windows-PC Zugang verschaffen und sich dann mittels einer Art Scan/Exploit-Playback seitlich im Netzwerk bewegen. Ransomware wie diese erfordert keine externe Command-and-Control-Reaktion. Daher sind herkömmliche Schutzlösungen am Netzwerkperimeter nutzlos, weil sie nach genau solcher Kommunikation zwischen Ransomware und Angreifern suchen.

Tausende Netzwerke zu infizieren, ist nicht schwer für eine nicht gepatchte Schwachstelle. Hier findet ein Wettrüsten statt zwischen den Angreifern, die Windows-Schwachstellen ausnutzen, und Unternehmen, die alle von Microsoft herausgegebenen Patches implementieren müssen. Für diese Schwachstelle hat Microsoft ebenfalls ein Patch zur Verfügung gestellt.

Wie Unternehmen zurückschlagen können

Der erste Schritt jeder Verteidigung ist eine aktive Patching-Strategie, die alle bekannten ausnutzbaren Schwachstellen abdeckt. Dies hätte auch die Tür geschlossen für die Windows-Schwachstellen, die von Shadow Brokers publik gemacht wurden.

Für den Fall, dass eine Schwachstelle unbekannt ist oder nicht genügend Zeit zum Patch zur Verfügung steht, benötigen Unternehmen eine Methode zur schnellen Erkennung und Reaktion. Diese sollte die Überwachung des internen Verkehrs auf Verhaltensmuster des Angreifers, wie Aufklärung, seitliche Bewegung und Dateiverschlüsselung, umfassen.

»Nur zu versuchen, spezifische Ransomware-Varianten im Netzwerkverkehr oder in ausführbaren Dateien zu erkennen, reicht nicht aus«, so Gérard Bauer, Vice President EMEA bei Vectra Networks. »Um künftige Angriffe zu verhindern, müssen wir uns hin zu einem Modell der Erkennung von Verhalten bewegen, anstatt das spezifische Tool oder die Malware zu identifizieren. Die Verhaltenserkennung ist viel effektiver, erfordert aber eine eingehende Analyse des Netzwerkverkehrs.«

Angesichts der Fortschritte in der künstlichen Intelligenz, die die Fähigkeiten von Sicherheitsteams erweitert, ist es absehbar, dass die Sicherheitsbranche immer mehr dazu übergehen wird, das verdächtige Verhalten von Angreifern in Echtzeit zu identifizieren und zu stoppen.

 


 

Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden. Diese Auswahl wurde von Menschen getroffen und nicht von Algorithmen.

 

WannaCry-Cyberattacke gegen Krankenhäuser – wie können sich kritische Organisationen gegen Online-Erpresser schützen

Sicherheitshinweise zu Ransomware-Angriffen durch »WannaCrypt«

WannaCry: IT-Sicherheit verzeiht keine Nachlässigkeit

Ransomware und Co: Deutschland als Gefahrenherd

Data Breach Investigations Report 2017: Cyberspionage und Ransomware-Angriffe auf dem Vormarsch

Drei Schutzmaßnahmen durch Data Management gegen Ransomware

Gezielte Ransomware-Attacken gegen Unternehmen

Ransomware: Monitoring- und Detection-Funktionen spüren Anomalien auf

Infografik: 2016 das Jahr der Ransomware

Ransomware nimmt kritische Infrastrukturen ins Visier – Ausfallzeiten durch Cyberangriffe

Leaks und Ransomware weiter im Aufwind – 3 zentrale IT-Bedrohungsszenarien in 2017

Weitere Artikel zu