WannaCry

Der WannaCry-Computervirus ist Ransomware, die erstmals im Mai 2017 entdeckt wurde. Im Rahmen eines massiven weltweiten Cyber-Angriffs attackierte es Unternehmensnetzwerke unter Microsoft Windows. WannaCry nutzt dabei eine Sicherheitslücke namens EternalBlue in einer Version des Windows-Netzwerkprotokolls SMB, um sich Zugriff auf ein Netzwerk zu verschaffen. Sobald WannaCry in ein Netzwerk eingedrungen ist, verschlüsselt es die Daten auf den infizierten Systemen und sperrt sie so für den rechtmäßigen Besitzer. Die Täter zwingen die Opfer zur Zahlung eines Lösegeldes, um die Daten zu entschlüsseln und wieder Zugriff zu erhalten. Die Lösegeldzahlungen erfolgen über eine Krypto-Währung, in der Regel Bitcoin.

Obwohl Microsoft schnell einen Patch für das WannaCry-Virus herausgab, schafften es nicht alle Unternehmen, den Patch rechtzeitig zu installieren. Einige von ihnen nutzten sogar eine Windows-Version, die so veraltet war, dass der Patch gar nicht angewendet werden konnte. Deshalb war eine große Anzahl von Unternehmen von dem WannaCry Computervirus betroffen.

Am 11. Mai 2017 wurden Unternehmen in Westeuropa und den USA auf eine sich rasant verbreitende Ransomware aufmerksam. WannaCry ging als erster Cyberangriff in die Geschichte ein, bei dem ein zerstörerischer Virus gezielt Netzwerkschwachstellen ausnutzte, um massenhaft Computer zu infizieren.

Was ist EternalBlue?

EternalBlue ist eine Schwachstelle im Server-Message-Block-Protokoll von Windows-Netzwerken, die die WannaCry-Ransomware ausgenutzt hat, um Netzwerke zu infizieren. Besonders erfolgreich war WannaCry bei älteren Windows-Versionen, deren Betreiber die empfohlenen Updates nicht installiert hatten.

EternalBlue wurde ursprünglich von der US-Behörde für Nationale Sicherheit (NSA) entdeckt. Die NSA hatte die Schwachstelle in Windows-Netzwerken als Erste erkannt und entwickelte eine Software, um basierend auf der Sicherheitslücke ihre eigenen Hacks durchzuführen. Nachdem Details zu EternalBlue aus dem Besitz der NSA entwendet worden waren, nutzten Cyberkriminelle die Schwachstelle, um WannaCry zu entwickeln. Bei WannaCry erfüllt EternalBlue die Funktion, anfällige Computer im Zielnetzwerk ausfindig zu machen. Zudem verwendete WannaCry eine weitere von der NSA entdeckte Hintertür namens DoublePulsar, um sich im Netzwerk zu installieren.

Wie breitet sich WannaCry aus?

Früher verbreiteten Cyberkriminelle Ransomware entweder per E-Mail oder per Web-Download. WannaCry leitete eine neue Ära der Malware-Verbreitung ein, bei der gezielt Netzwerkschwachstellen zur Masseninfektion ausgenutzt wurden.^[3]

Es ist deutlich einfacher, WannaCry zu verhindern, als ihn nachträglich zu entfernen. Ist WannaCry erst einmal aktiv, lässt sich der Computervirus kaum noch entfernen. Weltweit waren bisher über 250.000 Systeme infiziert. Unternehmen, die vom Virus WannaCry betroffen waren, hatten kaum eine andere Wahl, als das Lösegeld zu zahlen oder die infizierten Systeme zu löschen und verschlüsselte Daten aus Backups wiederherzustellen (falls sie welche hatten).

Glücklicherweise fanden Sicherheitsforscher – darunter zwei von Proofpoint – einen Domain-Namen, der verschlüsselt in der Malware des Virus WannaCry hinterlegt war und über den die Kommunikation zwischen dem Angreifer und den infizierten Rechnern lief. Da der Entwickler des WannaCry-Virus es versäumt hatte, die Domain zu registrieren, konnten Sicherheitsforscher die Verbreitung stoppen.

Eine der größten Schwachstellen in Netzwerken sind veraltete Systeme, die nicht aktualisiert oder falsch konfiguriert wurden. Um Ihr Netzwerk zu schützen, sollten Sie stets aktuelle Sicherheitsupdates installieren, Ihre Konfigurationen überprüfen und regelmäßige Tests Ihrer Backup-Infrastruktur durchführen. Nur so stellen Sie sicher, dass Sie im Ernstfall sowohl einzelne Geräte als auch unternehmensweite Daten wiederherstellen können.

Darüber hinaus sollten Unternehmen das Ransomware-Risiko ganzheitlich betrachten – die Bedrohung wird nicht von allein verschwinden.

Die wirksamste Sicherheitsstrategie gegen Ransomware kombiniert Prävention, Erkennung und Wiederherstellung. Da der Großteil der Ransomware über schädliche E-Mails verbreitet wird, sollten Unternehmen in E-Mail-Filter investieren, die die Zustellung schädlicher E-Mails blockieren.

Die zweite Präventionsmaßnahme erfordert, Ihre IT-Umgebung so zu konfigurieren, dass sie bösartige Makros in Dokumenten, eine der häufigsten Arten der Ransomware-Verbreitung, verhindert. Die meisten Unternehmen können Benutzer daran hindern, Makros in Dokumenten zu aktivieren, die sie von außerhalb des Netzwerks erhalten haben, ohne dass sie die Geschäftsprozesse dafür unterbrechen müssen.

Auch Erkennungskontrollen sind hilfreich. Tools für Endpunkt- und Network-Security können oftmals verhindern, dass Ransomware Benutzerdateien verschlüsselt oder den Verschlüsselungscode von der Command-and-Control-Infrastruktur der Ransomware herunterlädt.

Nicht zuletzt kann eine proaktive Wiederherstellungsstrategie im Ernstfall entscheidend sein. Unternehmen mit durchdachten Backup-Prozessen können sich das Lösegeld oft sparen, da sie die verschlüsselten Daten wiederherstellen können – auch wenn etwas Zeit verloren geht. Als Reaktion darauf gibt es nun Ransomware, die zuerst versucht, die Backups zu verschlüsseln. Deshalb sind robuste Sicherheitskonfigurationen für Ihre Backup-Infrastruktur unerlässlich.

[1] ZDNet. “This malware just got more powerful by adding the WannaCry trick to its arsenal”
[2] Ryan Kalember (Proofpoint). “Worldwide WannaCry Ransomware Attack Hits 99+ Countries, Proofpoint Researchers Significantly Reduce Impact”
[3] Proofpoint. “Cybersecurity Predictions for 2018”
[4] Proofpoint. “Ransomware is Big Business”