Guide de survie contre les ransomwares - Protection contre les menaces

WannaCry

Was ist WannaCry?

Erfahren Sie mehr über WannaCry-Ransomware und wie Sie sich davor schützen können.

Definition

WannaCry ist ein Virus, der im Mai 2017 entdeckt wurde. Im Rahmen eines massiven globalen Cyber-Angriffs attackierte er Unternehmensnetzwerke unter Microsoft Windows. WannaCry nutzte eine Sicherheitslücke namens EternalBlue in einer Version des Server-Message-Block-(SMB)-Netzwerkprotokolls von Windows, um sich wie ein Wurm über die Zielnetzwerke zu verbreiten.[1]

Obwohl Microsoft schnell einen Patch für WannaCry herausgab, konnte ihn nicht jedes Unternehmen schnell genug einführen. Tatsächlich nutzten einige Kunden eine Windows-Version, die so veraltet war, dass der Patch gar nicht angewendet werden konnte.[2]

 

Wannacry-angriff

Am 11. Mai 2017 wachten Unternehmen in Westeuropa und den USA mit Berichten über eine sich schnell verbreitende Art von Ransomware auf, die den EternalBlue-Exploit zum Angriff auf eine bekannte Server-Message-Block-(SMB)-Schwachstelle nutzte.[3] WannaCry machte sich einen Namen als erster Cyberangriff, bei dem ein zerstörerischer Virus Netzwerk-Schwachstellen ausnutzte, um Computer in großem Maßstab zu infizieren.

Wie Greift Wannacry An?

WannaCry-Ransomware infiziert Netzwerke über den EternalBlue-Exploit und zielt auf die Server Message-Block-Schwachstelle in Microsoft Windows. Am erfolgreichsten war die Ransomware bei älteren Windows-Versionen, bei denen die Netzwerkbetreiber nicht die empfohlenen Updates installiert hatten.

Sobald sich WannaCry verbreitet und in ein Netzwerk eindringt, verschlüsseln Cyberkriminelle die Daten auf den infizierten Systemen und sperren sie so vor dem rechtmäßigen Besitzer. Die Täter zwingen die Opfer zur Zahlung eines Lösegeldes, um die Daten zu entschlüsseln und wieder Zugriff zu erhalten.

Die Lösegeldzahlungen erfolgen über eine Krypto-Währung, in der Regel Bitcoin.[4]

Wie Breitet Es Sich Aus?

Früher verbreiteten Cyberkriminelle Ransomware entweder per E-Mail oder per Web-Download. WannaCry markierte den Beginn einer neuen Welle der Malware-Verbreitung, bei der Netzwerk-Schwachstellen ausgenutzt werden, um Computer in großem Maßstab zu infizieren.[3]

EternalBlue, der von der US-Behörde für nationale Sicherheit (NSA) erstellt und anschließend gestohlen wurde. EternalBlue ermöglichte es Angreifern, anfällige Computer im Zielnetzwerk zu entdecken. WannaCry nutzte zudem eine Hintertür der NSA namens DoublePulsar, um WannaCry im Netzwerk zu installieren.

 

Wannacry Entfernen

Die Verhinderung von WannaCry ist weit weniger schmerzhaft als seine Beseitigung. WannaCry entwickelte und verbreitete einen Ransomware-Wurm, der weltweit über 250.000 Systeme infizierte. Betroffene Unternehmen haben kaum eine andere Wahl, als entweder das Lösegeld zu zahlen oder die infizierten Systeme zu löschen und verschlüsselte Daten aus Backups wiederherzustellen (falls sie welche haben).

Glücklicherweise fanden Sicherheitsforscher – darunter zwei von Proofpoint – einen Domänennamen, der in der Malware verschlüsselt war und die Kommunikation zwischen dem Angreifer und den infizierten Rechnern verwaltete. Der Autor von WannaCry hatte es versäumt, die Domäne zu registrieren; ein Versehen, das es den Forschern ermöglichte, die Verbreitung von WannaCry zu stoppen.

Zu den größten Schwachstellen im Netzwerk gehören ältere Systeme, die nicht gepatcht oder schlecht konfiguriert sind. Um Ihr Netzwerk zu schützen, sollten Sie stets die neuesten Patches installieren, Ihre Sicherheitseinstellungen validieren und Ihre Backup-Infrastruktur testen. Nur so können Sie sicherstellen, dass Sie einzelne Rechner und unternehmensweite Daten wiederherstellen können.

Erfahren Sie mehr über die Beteiligung von Proofpoint am Stoppen von WannaCry.

 

Bewährte Verfharen Zum Schutz Vor Ransomware

Eine der wichtigsten Lehren aus der WannaCry-Ransomware und den damit verbundenen Cyber-Angriffen besteht darin, Patches sorgfältig auf Ihre Betriebssysteme anzuwenden. Unternehmen auf der ganzen Welt sollten die neuesten Patches installiert haben und für den Fall eines Ransomware-Angriffs getestete Backups zur Hand haben.

Im weiteren Sinne müssen Unternehmen das Problem der Ransomware auf mehreren Ebenen angehen und dürfen nicht davon ausgehen, dass sich die Bedrohung verlangsamt.
Die beste Sicherheitsstrategie gegen Ransomware ist eine Mischung aus Prävention, Erkennung und Wiederherstellung. Da der Großteil der Ransomware über schädliche E-Mails verbreitet wird, sollten Unternehmen in Lösungen investieren, die die Zustellung schädlicher E-Mails blockieren.

Die zweite Präventionsmaßnahme erfordert die Konfiguration Ihrer IT-Umgebung, um eine der häufigsten Arten der Ransomware-Verbreitung – über bösartige Makros in Dokumenten – zu verhindern. Die meisten Unternehmen können Benutzer daran hindern, Makros in Dokumenten zu aktivieren, die sie von außerhalb des Netzwerks erhalten haben, ohne dass sie die Geschäftsprozesse dafür unterbrechen müssen.

Auch Erkennungskontrollen sind hilfreich. Endpunkt- und Netzwerksicherheitstools können oftmals verhindern, dass Ransomware-Benutzerdateien verschlüsselt oder den Verschlüsselungscode von der Command-and-Control-Infrastruktur der Ransomware herunterlädt.

Und abschließend kann eine proaktive Wiederherstellungsstrategie zum Schutz vor Ransomware wahre Wunder wirken. Größere Unternehmen mit soliden Backup-Prozessen können oft vermeiden, Lösegeld zu zahlen; sie können die verschlüsselten Daten einfach wiederherstellen (auch wenn der Benutzer einige Stunden Arbeit verliert). Als Reaktion darauf gibt es nun einige Ransomware, die zuerst versucht, die Backups zu verschlüsseln. Das führt dazu, dass ordnungsgemäße Sicherheitskonfigurationen für Ihre Backup-Infrastruktur selbst unerlässlich sind.