Computerpartner

  
Sie befinden sich hier: HOMENachrichtenServiceMeinungen & Kommentare
20.08.2017

Aus WannaCry lernen

Anatomie des Ransomworms: Die ersten Nachrichten tauchten am Freitag auf. Zunächst ging es um einige Dutzend Krankenhäuser in England. Derzeit wird von 220.000 Computersystemen gesprochen, die von der Ransomware WannaCry weltweit befallen wurden. Darunter die Deutsche Bahn, das russische Innenministerium oder FedEx aus den USA; von Alan Zeichick *)

Mathias Hein

Zur Vergrößerung anklicken

Alan Zeichick

Die Malware hat sich rasant verbreitet. Medizinische Angestellte in UK berichteten, dass ein Computer nach dem anderen in die Knie ging. Sie verbreiteten die ersten Screenshots des Programmes, die zu einer Zahlung von 300 Dollar in der virtuellen Währung Bitcoin für jeden infizierten Computer aufforderten, um die blockierten Daten wieder freizuschalten.

Über den Tag berichteten mehr und mehr vor allem europäische Organisationen über gleiche Infektionen – viele davon aus Russland. Mehr als 100 Länder scheinen betroffen zu sein.

Was war passiert? Details wurden schnell offenbar. Die relativ unbekannte Ransomware-Variante ‚WannaCry' oder auch ‚WCry' wurde von Hackern entdeckt, die Informationen der National Security Agency (NSA) aus den USA gestohlen hatten. Betroffen waren Windows-Desktops, Notebooks und Server, die nicht über das aktuelle Security-Update verfügten.

WCry hat sich überdies nicht über den normalen Weg in den Netzwerken verbreitet, indem Anwender unvorsichtigerweise auf Anhänge geklickt haben. Sobald ein Windows-System in einem Netzwerk infiziert war, verbreitete sich die Malware selbst und infizierte andere ungepatchte Maschinen ohne menschlichen Eingriff. Der gängige Begriff für dieserart hochgefährliche Software ist ‚Ransomworm'.

Mit dieser Information habe ich mich an Roi Abutbul gewandt, einen Experten und früheren Cybersecurity-Forscher bei der OFEK-Abteilung der  israelischen Luftwaffe, der inzwischen Gründer und CEO von Javelin Networks ist, einem Sicherheitsunternehmen, das Künstliche Intelligenz nutzt, um gegen Malware zu kämpfen.

Abutbul erklärt, dass es sich bei der WannaCry-Ransomware um die umfassendste Infektion der Geschichte handelt und um eine Ransomware der nächsten Generation. "Anders als die normale Ransomware, die lediglich den lokalen Rechner infiziert, auf dem sie landet, verbreitet sich dieser Typus aus dem Inneren des Netzwerkes einer Organisation, ohne dass Anwender eine E-Mail oder ein Attachment öffnen müssten." Und weiter: "Dieser Ransomworm bewegt sich seitlich innerhalb des Netzwerkes und verschlüsselt jeden PC und Server einschließlich der Datensicherung der Organisation."

Die gute Neuigkeit ist zunächst, dass die Software von Javelin in der Lage war, die Verbreitung von WCry auf den Computern der Kunde zu unterbinden: "Die Javelin-Lösung ist dafür entwickelt, derartige Angriffe automatisch zu erkennen, darauf zu reagieren und sie zu isolieren, um die Verbreitung in einem Unternehmensnetz in Echtzeit zu verhindern. Dieser Ransomworm nutzte insbesondere die Microsoft-SMB-Schwachstelle MS17-010 zur internen Verbreitung. Die gleiche Schwachstelle, die von der NSA für einige Jahre genutzt und kürzlich durch das NSA-Tools-Leak veröffentlicht wurde."

Es ist wichtig herauszustellen, dass dies kein NSA-Hack war. Vielmehr handelt es sich um eine Schwachstelle, die der NSA zuvor bekannt war. Microsoft hat sich – wie auch andere Hersteller – daran gemacht, diese Schwachstelle nach der Veröffentlichung des Datenklaus im Januar 2017 zu beheben. Das Problem ist, dass nicht alle Kunden den entsprechenden Patch auch installiert haben.

Im Microsoft Bulletin MS18-010 vom 14. März 2017 heißt es: "Dieses Sicherheits-Update behebt Schwachstellen in Microsoft Windows. Die gefährlichste dieser Schwachstellen könnte eine Ausführung von Code ermöglichen, wenn ein Hacker eine speziell dafür generierte Mitteilung an einen Microsoft Server Block 1.0 (SMBv1) sendet."

Das Bulletin fährt fort: "Eine Schwachstelle bei der Offenlegung von Informationen existiert in der Weise, dass der Microsoft Server Message Block 1.0 (SMBv1) Server verschiedenen Anfragen bearbeitet. Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, könnte ein spezielles Paket erstellen, das zu einer Freigabe von Informationen durch den Server führt. Um die Schwachstelle auszunutzen, könnte in den meisten Situationen ein Hacker ein speziell dafür erstelltes Paket an einen ausgewählten SMBv1 Server senden."

Betroffene Windows-Systeme sind Windows Vista, Windows Server 2008, Windows 7, Windows 8.x, Windows Server 2012, Windows 10 und Windows Server 2016.

Die schlechte Nachricht ist, dass andere Ransomworms möglicherweise bereits lauern. Roi Abutul warnt: "Diesmal nutzten die Angreifer eine seltene ungepatchte Schwachstelle. Aber es gibt viele andere Wege, sich im Netzwerk seitwärts zu bewegen und sich zu verbreiten. Javelin konzentriert sich insbesondere auf diese gefährliche Seitwärtsbewegung in einer frühen Phase und verfügt über die Fähigkeit, die Versuche unabhängig von der Methode zu stoppen und hilft Organisationen dabei, sich automatisch davon zu befreien."

Der beste Ratschlag bleibt dabei, sich immer auf dem neuesten Stand der Windows Patches zu halten. Viel zu viele Organisationen, vor allem im öffentlichen Sektor oder in Bereichen mit begrenzten IT-Ressourcen wie Krankenhäuser, vernachlässigen die Installation von Patches. Zweitens ist die Nutzung von Tools wie Javelin angeraten, um das Netzwerk gegen bekannte und unbekannte Malware und Attacken zu schützen. Die Quintessenz ist: Wer keine Updates einspielt und keine entsprechenden Werkzeuge nutzt, wird auch weiterhin verletzbar sein. +