Als die Nachricht “ein bedeutender Cyber-Angriff” am Freitag Nachmittag zum ersten Mal in den deutschen Nachrichten erscheint, sah es zunächst wie ein absichtlicher Versuch einer Attacke auf die Deutsche Bahn aus. Aber was war geschehen ?
Eine sogenannte Ransomware-Attacke, die entworfen wurde, um jegliche Technologieschwächen auszunutzen und Ihre Systeme zum Stillstand zu bringen … es sei denn, es wird an die Cyberkriminellen eine ein Lösegeld gezahlt.
Allerdings wurde bald klar, dass immer mehr Länder betroffen waren und dies eine rasch verbreitete globale Bedrohung war. Niemand war sicher und es war definitiv nicht ein “üblicher” Fall von Ransomware .
Dieser Artikel der New York Times beinhaltet eine beeindruckende Visualisierung, die zeigt, wie Zehntausende von Computern auf der ganzen Welt infiziert wurden … viele davon gleichzeitig.
Also, was wissen wir heute über den Angriff ?
Die für diesen Angriff verantwortliche Malware ist eine Ransomware-Variante, die als ‘WannaCry’ bekannt ist. WannaCry wird durch eine Sicherheitsanfälligkeit im Microsoft SMB-Protokoll installiert, nicht Phishing-E-Mails oder Malvertising, wie Ransomware normalerweise verteilt wird.
SMB ist ein Netzwerkprotokoll, das verwendet wird, um Dateien zwischen Computern zu teilen. Einer der Gründe, warum sich diese Ransomware so schnell ausbreitet, liegt daran, dass sie sich weitgehend auf demselben Netzwerk verbreiten kann und sich automatisch auf anderen Systemen im Netzwerk ohne Beteiligung des Endbenutzers installiert.
Die Malware ist besonders effektiv in Umgebungen mit Windows XP-Maschinen, da sie stark über TCP-Port 445 (Server Message Block / SMB) scannen, Hosts komprimieren, Dateien, die auf ihnen gespeichert sind, verschlüsseln und dann eine Lösegeldzahlung in Form von Bitcoins fordern.
Am 14. März 2017 veröffentlichte Microsoft ein Sicherheitsupdate,,um diese Sicherheitsanfälligkeit zu beseitigen. Während diese geschützten neueren Windows-Computer, das Windows Update aktiviert hatten, gibt es immer noch viele Computer die das Update nicht installiert haben.
Dies gilt insbesondere für Windows XP-Computer, die nicht mehr von Microsoft unterstützt werden, sowie Millionen von Computer, die weltweit Raubkopien laufen lassen, die (offensichtlich) nicht automatisch aktualisiert werden.
Unser Cisco Talos Bedrohungs-Intelligenz-Team hat diese Bedrohung aktiv erforscht und ihre neuesten Erkenntnisse finden Sie hier unter diesem Blog, der ständig mit den neuesten Informationen aktualisiert wird.
Ich wollte nur auf ein paar wirklich wichtige Absätze hinweisen:
- Die Malware wurde als modularer Service konzipiert. Es scheint uns, dass die ausführbaren Dateien, die mit der Ransomware verknüpft sind, von einer anderen Person geschrieben wurden, als wer das Service-Modul entwickelt hat. Potenziell bedeutet dies, dass die Struktur dieser Malware verwendet werden kann, um verschiedene bösartige Nutzlasten zu liefern und auszuführen.
- Organisationen sollten sich bewusst sein, dass es keine Verpflichtung für Kriminelle gibt, Entschlüsselungscodes nach der Zahlung eines Lösegeldes zu liefern. Talos empfiehlt den Betroffenen das Lösegeld nicht zu zahlen.
- Organisationen, die das Risiko einer Kompromittierung minimieren wollen, sollten den folgenden Empfehlungen folgen:
Stellen Sie sicher, dass alle Windows-basierten Systeme vollständig gepatcht sind. Auf ein Minimum, stellen Sie sicher, dass Microsoft Bulletin MS17-010 angewendet wurde.
In Übereinstimmung mit bekannten Praxisbeispielen sollte jede Organisation, die über das Internet öffentlich zugänglich ist (Port 139, 445), den eingehenden Verkehr sofort blockieren.
Wenn Sie ein Cisco Kunde sind und /oder Sie Fragen in Bezug auf Ihre Cybersicherheit haben, wenden Sie sich bitte an unser Team, das Ihnen gerne weiterhilft. . Für mehr Informationen, wie Sie Ransomware in Schach halten können, besuchen Sie bitte unsere Webseite und unsere Ransomware Kampagnenseite.