WannaCry

WannaCry ist ein Ransomware-Virus, der im Mai 2017 entdeckt wurde. Im Rahmen eines massiven globalen Cyber-Angriffs attackierte er Unternehmensnetzwerke unter Microsoft Windows. WannaCry nutzte eine Sicherheitslücke namens EternalBlue in einer Version des Server-Message-Block (SMB)-Netzwerkprotokolls von Windows, um sich Zugang zu einem Netzwerk zu verschaffen. Sobald WannaCry in ein Netzwerk eingedrungen ist, verschlüsselt es die Daten auf den infizierten Systemen und sperrt sie so für den rechtmäßigen Besitzer. Die Täter zwingen die Opfer zur Zahlung eines Lösegeldes, um die Daten zu entschlüsseln und wieder Zugriff zu erhalten. Die Lösegeldzahlungen erfolgen über eine Krypto-Währung, in der Regel Bitcoin.

Obwohl Microsoft schnell einen Patch für das WannaCry-Virus herausgab, schafften es nicht alle Unternehmen, den Patch rechtzeitig zu installieren. Einige von ihnen nutzten sogar eine Windows-Version, die so veraltet war, dass der Patch gar nicht angewendet werden konnte. Deshalb war eine große Anzahl von Unternehmen von WannaCry betroffen.

Am 11. Mai 2017 wachten Unternehmen in Westeuropa und den USA zu Berichten über eine sich schnell verbreitende Art von Ransomware auf. WannaCry machte sich einen Namen als erster Cyberangriff, bei dem ein zerstörerischer Virus Netzwerk-Schwachstellen ausnutzte, um Computer in großem Maßstab zu infizieren.

Was ist EternalBlue?

EternalBlue ist eine Schwachstelle im Server-Message-Block-Protokoll von Windows-Netzwerken, die die WannaCry-Ransomware ausgenutzt hat, um Netzwerke zu infizieren. Am erfolgreichsten war die Ransomware bei älteren Windows-Versionen, bei denen die Netzwerkbetreiber nicht die empfohlenen Updates installiert hatten.

EternalBlue wurde ursprünglich von der US-Behörde für Nationale Sicherheit (NSA) entdeckt. Die NSA hatte die Schwachstelle in Windows-Netzwerken als Erste erkannt und entwickelte eine Software, um basierend auf der Sicherheitslücke ihre eigenen Hacks durchzuführen. Nachdem die NSA-Informationen über EternalBlue jedoch gestohlen wurden, entwickelten Cyberkriminelle den Ransomware-Virus WannaCry. Bei WannaCry erfüllt EternalBlue die Funktion, anfällige Computer im Zielnetzwerk ausfindig zu machen. WannaCry nutzte außerdem eine Hintertür namens DoublePulsar, die ebenfalls die NSA entdeckt hatte, um WannaCry im Netzwerk zu installieren.

Wie breitet sich WannaCry aus?

Früher verbreiteten Cyberkriminelle Ransomware entweder per E-Mail oder per Web-Download. WannaCry markierte den Beginn einer neuen Welle der Malware-Verbreitung, bei der stattdessen Netzwerk-Schwachstellen ausgenutzt werden, um Computer in großem Maßstab zu infizieren.[3]

WannaCry zu verhindern ist weitaus weniger schmerzhaft als ihn wieder zu löschen. Sobald WannaCry in einem System ist, lässt er sich nicht mehr entfernen. Weltweit waren über 250.000 Systeme infiziert. Betroffene Unternehmen hatten kaum eine andere Wahl, als das Lösegeld zu zahlen oder die infizierten Systeme zu löschen und verschlüsselte Daten aus Backups wiederherzustellen (falls sie welche hatten).

Glücklicherweise fanden Sicherheitsforscher – darunter zwei von Proofpoint – einen Domain-Namen, der verschlüsselt in der Malware hinterlegt war und über den die Kommunikation zwischen dem Angreifer und den infizierten Rechnern lief. Der Entwickler von WannaCry hatte es versäumt, die Domain zu registrieren; ein Versehen, das es den Forschern ermöglichte, die Verbreitung von WannaCry zu stoppen.

Zu den größten Schwachstellen in einem Netzwerk gehören veraltete Systeme, die nicht gepatcht oder schlecht konfiguriert sind. Um Ihr Netzwerk zu schützen, sollten Sie stets die neuesten Patches installieren, Ihre Sicherheitseinstellungen validieren und Ihre Backup-Infrastruktur testen. Nur so können Sie sicherstellen, dass Sie einzelne Rechner und unternehmensweite Daten im Notfall wiederherstellen können.

Im weiteren Sinne müssen Unternehmen das Problem der Ransomware auf mehreren Ebenen angehen und dürfen nicht davon ausgehen, dass die Bedrohung abnehmen wird.

Die beste Sicherheitsstrategie gegen Ransomware ist eine Mischung aus Prävention, Erkennung und Wiederherstellung. Da der Großteil der Ransomware über schädliche E-Mails verbreitet wird, sollten Unternehmen in E-Mail-Filter investieren, die die Zustellung schädlicher E-Mails blockieren.

Die zweite Präventionsmaßnahme erfordert, Ihre IT-Umgebung so zu konfigurieren, dass sie bösartige Makros in Dokumenten, eine der häufigsten Arten der Ransomware-Verbreitung, verhindert. Die meisten Unternehmen können Benutzer daran hindern, Makros in Dokumenten zu aktivieren, die sie von außerhalb des Netzwerks erhalten haben, ohne dass sie die Geschäftsprozesse dafür unterbrechen müssen.

Auch Erkennungskontrollen sind hilfreich. Tools für Endpunkt- und Network-Security können oftmals verhindern, dass Ransomware Benutzerdateien verschlüsselt oder den Verschlüsselungscode von der Command-and-Control-Infrastruktur der Ransomware herunterlädt.

Und abschließend kann eine proaktive Wiederherstellungsstrategie zum Schutz vor Ransomware wahre Wunder wirken. Unternehmen mit soliden Backup-Prozessen können oft vermeiden, Lösegeld zu zahlen, denn sie können die verschlüsselten Daten einfach wiederherstellen (auch wenn sie dabei einige Stunden Arbeit verlieren). Als Reaktion darauf gibt es nun Ransomware, die zuerst versucht, die Backups zu verschlüsseln. Deshalb sind ordnungsgemäße Sicherheitskonfigurationen für Ihre Backup-Infrastruktur unerlässlich.

[1] ZDNet. “This malware just got more powerful by adding the WannaCry trick to its arsenal”
[2] Ryan Kalember (Proofpoint). “Worldwide WannaCry Ransomware Attack Hits 99+ Countries, Proofpoint Researchers Significantly Reduce Impact”
[3] Proofpoint. “Cybersecurity Predictions for 2018”