Weltweite Angriffswelle durch Ransomware WannaCry auf SMB und RDP

Neue Ransomware "WannaCry" attackiert über RDP- und SMB-Dienste mehrere IT-Systeme. Forderung nach Lösegeld in Höhe von 300$ in Bitcoin.

 

Beschreibung:

Seit gestern verteilt sich die Ransomware "WannaCry" auf IT-Systemen auf der ganzen Welt. Zum Opfer fielen z.B. Unternehmen wie Telefónica (ES), National Health Service (UK), FedEx (US) und der Deutschen Bahn (DE). Hat sich die Malware einmal eingenistet, verschlüsselt sie die Dateien auf den Computern und versucht, weitere IT-Systeme zu infizieren. Anschließend soll pro IT-System ein Lösegeld von $300 in der Kryptowährung Bitcoin bezahlt werden.

Als Infektionsweg nutzt WannaCry neben Phishing-E-Mails vom Internet aus verfügbare RDP- und SMB-Dienste. Dazu kommt die Verwendung von bestehenden Hintertüren in Systemen, die mit den von der Gruppe "Shadow Brokers" veröffentlichten Hacker-Tools infiziert wurden. Diese Werkzeuge hat die Gruppe angeblich aus dem Waffenarsenal der NSA erbeutet und im April zur Verfügung gestellt (siehe Sicherheitsinformation FS-S/2017-0005 vom 18.04.2017). Als Kommunikationskanal nutzt WannaCry das Anonymisierungsnetzwerk Tor mit Mehrfachverschlüsselung.

Nach gestrigem Stand haben die verfügbaren Virenscanner bei VirusTotal das Binary von WannaCry noch nicht als schadhaft erkannt. Microsoft hat aber bereits im März mit dem Patch MS17-010 eine Aktualisierung zur Verfügung gestellt, welche die Sicherheitslücke in SMB schließt. Da die Lücke so gravierend ist, wurde sogar für Systeme wie Windows XP eine Aktualisierung bereit gestellt, obwohl der offizielle Support bereits eingestellt wurde. Die Aktualisierungen sollten daher dringend eingespielt werden.

Sicherheitsforscher von Cisco haben bei der Analyse der Malware eine fest integrierte Domain gefunden, die von WannaCry beim Start angesprochen wird und als sog. "Kill-Switch" fungiert. Stellt die Malware eine erfolgreiche Verbindung her, beendet sie sich, ohne Schäden zu hinterlassen. Diese Domain wurde nun von den Sicherheitsforschern registriert, da die Urheber von WannaCry dies bisher nicht getan haben. Der Verbreitungsweg der aktuellen WannaCry-Binaries sollte daher prinzipiell eingedämmt sein.

Allerdings erkennen aktuell einige Schutzsysteme wie die Virenscanner von Sophos, Fortinet oder Kaspersky die Kill-Switch-Domain als schadhaft an und blockieren Zugriffe auf diese, sodass WannaCry sich dennoch weiter verbreitet. Dies sollte vermutlich durch die nächsten Aktualisierungen behoben werden. Zudem wird es vermutlich nicht lange dauern, bis die Urheber aus dem Fehler mit der Kill-Switch-Domain gelernt haben und weitere Binaries verbreiten, die diese triviale Lücke nicht mehr aufweisen.


Empfehlung:

Die Ransomware WannaCry beweist, dass bestehende Sicherheitslücken nach Bekanntwerden sehr schnell für großangelegte Angriffe und Kampagnen ausgenutzt werden. Dabei wird die erstellte Malware auch gegenüber gängigen Schutzsystemen wie Virenscannern solange optimiert, bis diese vorerst nicht erkannt werden.

Schutz vor solcher Ransomware bieten hierbei vor allem aktuelle Backups sowie die Minimierung der Angriffsfläche und die Stärkung der Resistenz der eigenen IT-Systeme. So sollten die Zugriffe der internen Systeme mit dem Internet beispielsweise mittels SMB-Freigaben oder RDP-Verbindungen nicht ohne guten Grund erfolgen und prinzipiell verboten sein. Falls diese doch notwendig sind, sollte dies nur von Systemen erfolgen, in denen permanent Sicherheitspatches eingespielt werden.

Darüber hinaus sollten auch andere Anwendungen von Sicherheitssystemen kontinuierlich beobachtet werden. Es ist zu erkennen, dass der Trend von schadhafter Kommunikation sich immer mehr in das Anonymisierungsnetzwerk Tor verlagert. Da dieses von der Architektur her schlecht überwacht werden kann, sollte die Notwendigkeit des Einsatzes von Tor in Unternehmen kritisch bewertet werden.


Erkennung mit spotuation Security Monitoring:

Anwender können mit der Lösung überprüfen, ob es Zugriffe auf ihre Systeme mittels des SMB-Protokolls, RDP oder Tor gibt oder in der Vergangenheit gab. Diese Informationen sind abhängig von den eingesetzten Modulen zu finden:

  • Haben Sie den Management-Report abonniert, haben wir bereits mögliche Zugriffe Ihrer IT-Systeme über das SMB-Protokoll analysiert und aufgelistet.
  • Falls Sie wöchentlich einen technischen Report erhalten, stehen die SMB-Zugriffe in der Verbindungsübersicht.
  • Falls Sie den Network-Compliance-Verifier aktiviert haben, können Sie im Webportal gezielt die SMB-Zugriffe finden und dabei direkt die betroffenen IP-Adressen Ihrer Clients ermitteln.
  • Im Expertensystem können Sie sich unter Zuhilfenahme der bekannten SMB- und RDP-Ports anzeigen lassen, ob Sie solchen Netzwerkverkehr haben.
  • Falls Sie den APT-Sensor aktiviert haben, wurden Sie bereits über möglicherweise unerwünschte RDP-Verbindungen sowie Zugriffe auf das Anonymisierungsnetzwerk Tor informiert. Zudem wurden die speziellen IoCs von WannaCry integriert.

Zurück