Zurück

Sicherlich haben Sie in den letzten Tagen in den Medien von den weltweiten sogenannten „Hackerangriffen“ auf verschiedene Systeme wie der Deutschen Bahn gehört oder die mit Schutzgelderpressungen versehenen Anzeigen an den deutschen Bahnhöfen gesehen.

Ich möchte hiermit einen kurzen Überblick zu der Thematik geben und wie Sie sich schützen können.

 

Es handelt sich hierbei um keinen gezielten „Hackerangriff“, sondern um einen sich selbstverbreitenden Wurm, der sich über eine Windows-Schwachstelle über Remote Code Execution selbständig in Systeme einnistet und anschließend die Ransomware WannaCry (Verschlüsselungstrojaner) platziert.

Fakten:

  • Nutzt Schwachstelle in Windows-Systemen MS17-010. Diese Schwachstelle wurde bis Februar 2017 vom amerikanischen Geheimdienst NSA genutzt.
  • Seit Februar 2017 wurde in den NSA-Leaks-Dokumenten darüber berichtet und seit März gibt es bereits einen Windows-Patch dafür (sogar für alte XP-Maschinen).
  • Der Verschlüsselungstrojaner „WannaCry“ wurde jetzt über diese bereits bekannte Schwachstelle verbreitet.
  • Durch Reverse-Engineering-Mechanismen konnte herausgefunden werden, dass die erste Variante sowas wie einen Totmannschalter besaß. Heißt, vor dem Starten des Virus wurde abgefragt, ob eine Webseite existiert.
  • Erste „Viren-Welle“ konnte durch Registrieren einer solchen Seite eingedämmt werden. Momentan sind aber bereits Versionen im Umlauf, die dieses Feature nicht mehr besitzen.
  • Hauptsächlich gefährdet ist jeder Computer ohne aktuelle Updates. Dies betrifft aber vor allem Krankenhäuser/Industriesysteme oder eben auch Anzeigetafeln der Deutschen Bahn. Generell alles Systeme die oft nach dem Motto „never touch a running system“ betreut werden.

 

Schutzmaßnahmen:

  • Automatische Windows-Updates aktivieren und bei älteren XP Maschinen manuelles Update MS17-010 einspielen.
  • Ein standardmäßiger Virenscanner schützt NICHT vor der Schwachstelle an sich, er kann signaturbasiert evtl. nur das Ausführen bereits bekannter Virenarten blockieren.
  • ABER es gibt Anti-Malware-Lösungen unserer Hersteller, die bereits für solche Angriffe ausgelegt sind. Sollten keine Updates installiert sein und Viren ins System gelangen, dann kann dadurch der Virus sofort geblockt, oder falls nicht geblockt (weil noch unbekannt), dann zumindest die Verschlüsselung erkannt und gestoppt werden.
  • Patch-Management-Lösungen anschaffen
  • Regelmäßige Back-ups
  • Security-Konzept erstellen/überarbeiten => Security besteht nicht nur aus Produkten – es braucht Prozesse.

 

Neben der klassischen Security-Software werden auch durch diesen Security-Issue wieder einige Produkte aus den Bereichen Sandboxing, Schwachstellenmanagement, Machine Learning, Application Control und das Thema SIEM für die Kunden interessant werden.

Unsere Security-Hersteller wie Trend Micro, McAfee, Symantec, Kaspersky sowie auch IBM und Cisco haben Produkte im Portfolio, mit denen sich ein solcher ganzheitlicher Security-Ansatz umsetzen lässt.

 

Link zur Microsoft-Windows-Schwachstelle und den zugehörigen Patches:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

 

Jeweilige Security-Herstellerinformationen zu Schadsoftware der Familie WannaCry:

Trend Micro   https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/wannacry-wcry-ransomware-how-to-defend-against-it

McAfee           https://kc.mcafee.com/corporate/index?page=content&id=KB89335

Symantec      https://www.symantec.com/security_response/writeup.jsp?docid=2017-051310-3522-99

IBM                 https://securityintelligence.com/wannacry-ransomware-spreads-across-the-globe-makes-organizations-wanna-cry-about-microsoft-vulnerability/

Kaspersky     https://blog.kaspersky.com/wannacry-ransomware/16518/

 

Folgende Grafik von Trend Micro erläutert die Vorgehensweise der Schadsoftware und zeigt auf, wie man sich gegen die jeweiligen Angriffsphasen schützen kann:

Quelle: Trend Micro https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/wannacry-wcry-ransomware-how-to-defend-against-it

 

Als Mitglied der Allianz für Cyber-Sicherheit haben wir vom BSI auch ein Lagedossier Ransomware erhalten, wo nochmal auf die Thematik Verschlüsselungstrojaner eingegangen wird.

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Lagedossier_Ransomware.pdf?__blob=publicationFile&v=2