Zurück

Sicherlich habt ihr in den letzten Tagen in den Medien von den weltweiten sogenannten „Hackerangriffen“ auf verschiedene Systeme wie der Deutschen Bahn  gehört oder die mit Lösegelderpressungen versehenen Anzeigen an den deutschen Bahnhöfen gesehen.

 

Ich möchte Euch hiermit einen kurzen Überblick zu der Thematik geben und wie sich unsere Kunden dagegen schützen können. Bei Rückfragen dazu könnt ihr Euch gerne an mich wenden/ verweisen.

 

Es handelt sich hierbei um keinen gezielten „Hackerangriff“ sondern um einen sich selbstverbreitender Wurm, der sich über eine Windows Schwachstelle über Remote Code Execution selbständig in Systeme einnistet und anschließend die Ransomware WannaCry (Verschlüsselungstrojaner) platziert.

 

Fakten:

  • Nutzt Schwachstelle in Windows Systemen MS17-010 / Diese Schwachstelle wurde bis Februar 2017 vom amerikanischen Geheimdienst NSA genutzt
  • Seit Februar´17 wurde in den NSA-Leaks Dokumenten darüber berichtet à Seit März gibt es bereits einen Windows Patch dafür (sogar für alte XP Maschinen)
  • Der VerschlüsselungsTrojaner „WannaCry“ wurde jetzt über diese bereits bekannte Schwachstelle verbreitet
  • Durch Reverse-Engineering („Code verstehen“) Mechanismen konnte herausgefunden werden, dass die erste Variante sowas wie einen Totmannschalter besaß. Heißt, vor Starten des Virus wurde abgefragt ob eine Webseite existiert oder nicht. Somit konnte die erste „Viren-Welle“ durch Registrieren einer solchen Seite eingedämmt wurden. Momentan sind aber bereits Versionen im Umlauf die dieses Feature nicht mehr besitzen
  • Hauptsächlich gefährdet ist jeder Computer ohne aktuelle Updates. Dies betrifft aber vor allem Krankenhäuser / Industriesysteme oder eben auch Anzeigetafeln der Deutschen Bahn. Generell alles Systeme die oft nach dem Motto „never touch a running system“ betreut werden.

 

Schutzmaßnahmen:

  • Automatische Windows Updates aktivieren à bei älteren XP Maschinen manuelles Update MS17-010 einspielen
  • Ein standardmäßiger Virenscanner schützt NICHT vor der Schwachstelle an sich, es kann Signaturbasiert evtl. nur das Ausführen bereits bekannter Virenarten blockieren.
  • ABER es gibt Anti-Malware Lösungen unserer Hersteller die bereits für solche Angriffe ausgelegt sind. Sollten keine Updates installiert sein und Viren ins System gelangen, dann kann dadurch der Virus sofort geblockt, oder falls nicht geblockt (weil noch unbekannt) dann zumindest die Verschlüsselung erkannt und gestoppt werden.
  • PatchManagement Lösungen anschaffen
  • Regelmäßige Backups
  • Security Konzept erstellen / überarbeiten => Security besteht nicht nur aus Produkten – es braucht Prozesse

 

 

Neben der klassischen Security Software werden auch durch diesen Security-Issue wieder einige Produkte aus den Bereichen Sandboxing, Schwachstellenmanagement, Machine Learning, Application Control und das Thema SIEM für die Kunden interessant werden.

Unsere Security Hersteller wie Trend Micro, McAfee, Symantec, Kaspersky sowie auch IBM und Cisco haben Produkte im Portfolio mit denen sich ein solcher ganzheitlicher Security Ansatz umsetzen lässt.

 

Links zu Microsoft Windows Schwachstelle und den zugehörigen Patches:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

 

Jeweilige Security Herstellerinformationen zu Schadsoftware der Familie WannaCry:

Trend Micro   https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/wannacry-wcry-ransomware-how-to-defend-against-it

McAfee           https://kc.mcafee.com/corporate/index?page=content&id=KB89335

Symantec      https://www.symantec.com/security_response/writeup.jsp?docid=2017-051310-3522-99

IBM                 https://securityintelligence.com/wannacry-ransomware-spreads-across-the-globe-makes-organizations-wanna-cry-about-microsoft-vulnerability/

Kaspersky     https://blog.kaspersky.com/wannacry-ransomware/16518/

 

 

Folgende Grafik von Trend Micro erläutert die Vorgehensweise der Schadsoftware, und zeigt auf wie man sich gegen die jeweiligen Angriffsphasen schützen kann:

Quelle: Trend Micro https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/wannacry-wcry-ransomware-how-to-defend-against-it

 

Als Mitglied der Allianz für Cybersicherheit haben wir vom BSI auch ein Lagedossier Ransomware erhalten, wo nochmal auf die Thematik Verschlüsselungstrojaner eingegangen wird.

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Lagedossier_Ransomware.pdf?__blob=publicationFile&v=2