Rückblick auf Ransomware-Attacken 2017: Schutz ist machbar

Cyber-Angriffen z.B. mit „WannaCryptor“ kann erfolgreich begegnet werden

[datensicherheit.de, 27.06.2018] Laut einer aktuellen Meldung von ESET hatte am 12. Mai 2017 einer der „bisher aggressivsten“ Cyber-Angriffe mit der Ransomware „WannaCryptor“ stattgefunden – innerhalb weniger Minuten hätten Tausende von Unternehmen in mehr als 150 Ländern zusehen müssen, wie über 200.000 Computer verschlüsselt und durch diese Lösegeld-Software unzugänglich gemacht wurden. Nach eigenen Angaben konnte ESET seine Geschäftskunden damals vor den zum Teil dramatischen Folgen dieses großen Malware-Ausbruchs dank der „Network Attack Protection“-Technologie bewahren.

Rückblick: Sicherheitslücke in Microsofts Implementierung des SMB-Protokolls missbraucht

Die massiven Attacken mit der Ransomware „WannaCryptor“ vom 12. Mai 2017 seien Sinnbild für einen der bisher aggressivsten Cyber-Angriffe – in Tausenden von Unternehmen in mehr als 150 Ländern seien über 200.000 Computer verschlüsselt und durch eine Lösegeld-Software unzugänglich gemacht worden. Ein immenser Datenverlust habe gedroht. Die Lösegeldforderungen hätten Schäden in Höhe von Hunderten von Millionen bis Milliarden US-Dollar verursacht.
Die Angreifer hinter „WannaCryptor“ (oder auch „WannaCry“ bzw. „Wcrypt“) hätten einen ausgeklügelten Exploit namens „EternalBlue“ ausgenutzt. Dieser sei angeblich der US National Security Agency (NSA) gestohlen und in Hacker-Kreisen verbreitet worden – eine „Black Hat“-Gruppe namens „Shadow Brokers“ habe ihn online gestellt.
Dieser Exploit habe die Sicherheitslücke (CVE-2017-0144) in Microsofts Implementierung des „Server Message Block“-Protokolls über Port 445 missbraucht. Durch das Scannen des Internets nach solchen SMB-Ports habe der Ransomware-Wurm seinen Code auf exponierten, anfälligen Systemen ausführen können. Anschließend habe er sich darüber sowohl im internen Netzwerk des betroffenen Unternehmens als auch im Internet weiter verbreitet.

Wirkungsvoller Schutz auch für ungepatchte Systeme möglich

Die meisten der befallenen Systeme seien mit einer ungepatchten Version von „Windows 7“ betrieben worden. Aber auch Systeme, die nicht über die kritischen, von Microsoft am 14. März 2017, also zwei Monate vor dem Angriff, veröffentlichten Microsoft-Patches verfügten hätten, seien demnach durch eine hochwertige mehrschichtige Sicherheitslösung geschützt worden.
Basierend auf einer am 25. April 2017 hinzugefügten Netzwerkerkennung sei ESETs „Network Attack Protection Layer“ in der Lage gewesen, diese mit Hilfe von „EternalBlue“-Exploits durchgeführten Angriffe zu blockieren. Dadurch habe die ESET-Lösung verhindern können, dass Schadcode in die Zielsysteme geschleust wird. Auch die „WannaCryptor“-Ransomware-Familie sowie anderer Schadcode, der versuchen könnte, den gleichen Verteilungsmechanismus zu verwenden, sei „wirkungsvoll geblockt“ worden.
Die beträchtliche Anzahl von infizierten Geräten im „WannaCryptor“-Fall zeige, wie wichtig regelmäßig durchgeführte Patches für die gesamte IT-Security in einem Unternehmen sind. Dies könne jedoch unter Umständen ein zeitaufwändiger, mühsamer und teurer Prozess sein. Durch die Installation mehrschichtiger Sicherheitslösungen (eben z.B. von ESET) verbesserten Unternehmen ihren Schutz, bis wichtige Updates ordnungsgemäß getestet und anschließend bereitgestellt werden können. Die Schutztechnologie könne auch dazu beitragen, Endgeräte zu schützen, die nicht gepatcht oder einfach ausgetauscht werden können. Auch nur gelegentlich eingesetzte Geräte in großen Netzwerken seien selbst dann geschützt, sobald sie beim Testen und Ausrollen von Patches im gesamten Unternehmen versehentlich übersehen werden sollten.