WannaCry hatte Zero-Day-Sicherheitslücke in Windows ausgenutzt

[datensicherheit.de, 12.05.2022] Am 12. Mai 2017 wurde der Nordkorea zugeschriebene Ransomware-Angriff „WannaCry“ ausgeübt. Jens Monrad, „Head of Threat Intelligence, EMEA“ bei Mandiant, geht in seiner aktuellen Stellungnahme auf diese Schadsoftware ein, welche wichtige Daten auf infizierten Systemen verschlüsselt, um von den Opfern Geld zu erpressen. „WannaCry“ hatte hierfür eine Zero-Day-Sicherheitslücke im „Windows“-Betriebssystem ausgenutzt, welche daraufhin mit einem Patch von „Microsoft“ behoben wurde. In seinem Kommentar erläutert Monrad die Entwicklung der Cyber-Fähigkeiten Nordkoreas in den letzten fünf Jahren seit diesem Vorfall:

Foto: Mandiant

Jens Monrad rät, proaktive Verteidigung zu ermöglichen!

WannaCry – einer der bisher am meisten zerstörerischen Ransomware-Angriffe

„,WannaCry‘ war nicht nur einer der am weitesten verbreiteten und zerstörerischsten Ransomware-Angriffe, sondern auch ein Wendepunkt für die vom nordkoreanischen Staat unterstützten Cyber-Operationen. Er zeigte die Fähigkeiten und die Bereitschaft des isolierten Regimes, anderen Nationen Schaden zuzufügen, um nationale Interessen zu verfolgen“, sagt Monrad.
Nordkorea habe wenig Anreiz gehabt, „nach den Regeln zu spielen“. Diese Entwicklung setze sich auch fünf Jahre später fort:
„Das Regime nutzt seine Cyber-Fähigkeiten, um sowohl politische als auch nationale Sicherheitsprioritäten zu unterstützen und finanzielle Ziele zu erreichen.“

WannaCry als warnendes Synonym für die Lazarus-Gruppe

Heutzutage werde die „Lazarus“-Gruppe zwar häufig als Überbegriff für nordkoreanische Cyber-Akteure verwendet, in Wirklichkeit gebe es jedoch mehrere verschiedene Gruppierungen, welche als eigenständige Cyber-Einheiten operierten und unterschiedliche Ziele für den Staat verfolgten.
Die Spionageoperationen des Landes beispielsweise spiegelten vermutlich die unmittelbaren Anliegen und Prioritäten des Regimes wider.
„Diese konzentrieren sich derzeit wahrscheinlich auf die Beschaffung finanzieller Ressourcen durch Krypto-Raubüberfälle, Angriffe auf Medien, Nachrichten und politische Instanzen sowie auf Informationen über Auslandsbeziehungen und nukleare Informationen“, so Monrad.

WannaCry-Vorfall als Mahnung: Angriffsmuster erkennen!

Gleichzeitig deuteten Überschneidungen bei der Infrastruktur, der Schadsoftware und den Taktiken, Techniken und Verfahren der nordkoreanischen Gruppen darauf hin, dass es gemeinsame Ressourcen für die Cyber-Operationen und somit eine übergreifende Koordination gebe.
„Unseren Erkenntnissen zufolge werden die meisten Cyber-Operationen Nordkoreas, einschließlich Spionage, zerstörerischer Operationen und Finanzverbrechen, in erster Linie von Elementen des Generalbüros für Aufklärung durchgeführt“, führt Monrad aus.
Ein halbes Jahrzehnt nach „WannaCry“ stellten nordkoreanische Gruppen nach wie vor eine ernsthafte Bedrohung dar. „Wir müssen weiterhin ,Intelligence‘ über ihre Strukturen und Fähigkeiten sammeln, um Angriffsmuster zu erkennen, die eine proaktive Verteidigung ermöglichen.“

Weitere Informationen zun Thema:

MANDIANT, Michael Barnhart / Michelle Cantos / Jeffery Johnson / Elias Fox / Gary Freas / Dan Scott, 23.03.2022
Blog / Not So Lazarus: Mapping DPRK Cyber Threat Groups to Government Organizations

datensicherheit.de, 27.06.2018
Studie: WannaCry ließ Bewusstsein für Cyber-Risiken wachsen / Angst vor finanziellen Schäden durch Ransomware bewirkt Budgeterhöhungen und Zunahme an Mitarbeiterschulungen

datensicherheit.de, 18.05.2017
WannaCry: Cyber-Attacke sollte Initialzündung für Taten sein / TeleTrusT kritisiert derzeitiges IT-Sicherheitsniveau in Deutschland

datensicherheit.de, 16.05.2017
WannaCry-Attacken: Verantwortung übernehmen statt Schuld zuweisen / Die Weisheit „Der Krug geht so lange zum Brunnen, bis er bricht.“ hat mit den Vorfällen vom 12. Mai 2017 nun ihre für alle wahrnehmbare digitale Entsprechung gefunden

[datensicherheit.de, 27.09.2019] Im zweiten Quartal 2019 haben die Experten von kaspersky nach eigenen Angaben „über 16.000 neue Ransomware-Varianten“ entdeckt – darunter auch acht neue Malware-Familien. Das entspricht demnach einer Verdoppelung der im selben Zeitraum 2018 entdeckten Anzahl neuer Erpresser-Schädlinge (7.620). Insgesamt seien zwischen April und Juni 2019 232.292 Nutzer durch Ransomware attackiert worden – dies entspreche einem Anstieg von 46 Prozent im Vergleich zum Vorjahreszeitraum (158.921). Der aktivste Malware-Typus im Untersuchungszeitraum sei immer noch „WannaCry“ gewesen. Die gute Nachricht sei: kaspersky biete Nutzern mit der Aktualisierung des „RakhniDecryptor“-Tools eine Möglichkeit, von den Ransomware-Schädlingen „Yatron“ und „FortuneCrypt“ verschlüsselte Daten wiederherzustellen. Das Entschlüsselungsprogramm sei ab sofort kostenfrei auf „Nomoreransom.org/de“ verfügbar.

Ransomware-Trojaner attackieren Privatnutzer wie Unternehmen

Ransomware-Trojaner hätten es sowohl auf Privatnutzer als auch auf Unternehmen abgesehen, da diese Art digitaler Erpressungstechniken sehr effektiv eingesetzt werden könnten: Sie verschlüsselten Daten auf einem Computer und forderten anschließend einen bestimmten Geldbetrag als Lösegeld für die Freigabe der Daten. Der Anstieg im zweiten Quartal 2019 veränderter Ransomware sowie das Aufkommen neuer Ransomware-Versionen sei ein „bedrohliches Zeichen für erhöhte kriminelle Aktivität“.

WannaCry: Fast ein Viertel aller Ransomware-Attacken verursacht

„WannaCry“ habe noch immer die meisten Angriffe auf sich vereint und fast ein Viertel (23 Prozent) aller Ransomware-Attacken im zweiten Quartal 2019 ausgemacht – jene Malware, welche im Mai 2017 für eine der schwerwiegendsten Cyber-Angriffe bis heute verantwortlich gewesen sei. Obwohl Microsoft schon zwei Monate vor dem Ausbruch dieser Ransomware-Epidemie einen Patch für sein Betriebssystem veröffentlicht habe, um die betroffenen Schwachstelle zu schließen, tauche „WannaCry“ auch heute noch „in the wild“, also im Netz, auf.

hacker:HUNTER: WannaCry-Fall im Rahmen neuer Cybercrime-Dokuserie verfilmt

kaspersky habe den „WannaCry“-Fall im Rahmen seiner neuen Cybercrime-Dokuserie „hacker:HUNTER“ verfilmt und zeige auf spannende und eindrückliche Weise, wie leicht Schwachstellen in IT-Systemen zu
Einfallstoren für gefährliche digitale Bedrohungen werden könnten. Die drei Episoden zu „WannaCry“ sollen ab der zweiten Oktoberhälfte 2019 sukzessive kostenfrei auf „tomorrowunlocked.com“ zur Verfügung gestellt werden.

Starker Anstieg neuer Ransomware-Modifikationen

Der nach „WannaCry“ aktivste Akteur im zweiten Quartal 2019 sei „Grandcrab“ mit einem Anteil von 13,8 Prozent weltweit gewesen – obwohl dessen Hintermänner versprochen hätten, diesen Schädling im zweiten Quartal 2019 nicht mehr verbreiten zu wollen. „Wir haben einen starken Anstieg neuer Ransomware-Modifikationen festgestellt – auch wenn ,Grandcrab‘ seit Anfang Juni nicht mehr aktiv verbreitet wurde. ,Grandcrab‘ gehörte lange Zeit bei Cyber-Kriminellen zu den beliebtesten Verschlüsselungsprogrammen und seit mehr als 18 Monaten zu den weltweit aktivsten Ransomware-Familien“, berichtet kaspersky-Sicherheitsforscher Fedor Sinitsyn.

GandCrab: Gutes Beispiel dafür, wie effektiv Ransomware sein kann

Aber selbst dessen Rückzug habe die Statistik nicht zum Positiven verändert, da es immer noch zahlreiche andere, weit verbreitete Trojaner im Ransomware-Bereich gebe. Sinitsyn: „Der Fall ,GandCrab‘ ist ein gutes Beispiel dafür, wie effektiv Ransomware sein kann – auch wenn die Entwickler ihre kriminellen Aktivitäten, weil offenbar zufrieden mit den erbeuteten Lösegeldbeträgen – eingestellt haben. Wir erwarten, dass neue Akteure ,GandCrab‘ ersetzen werden.“ Privatnutzer und Unternehmen sollten ihre Geräte entsprechend schützen, „indem sie regelmäßig Software-Updates installieren und eine zuverlässige Sicherheitslösung installieren“, rät Sinitsyn.

RakhniDecryptor: Kostenloses Entschlüsselungstool

kaspersky stellt mit dem aktualisierten „RakhniDecryptor“-Tool nach eigenen Angaben ein Entschlüsselungsprogramm für „Yatron“ und „FortuneCrypt“ zur Verfügung. „Yatron“ sei Teil eines Ransom-as-a-Service-Affiliate-Programms, dessen Entwickler wohl das berüchtigte „Eternal-Blue“- und das „DoublePulsar“-Exploit als Verbreitungstools der Malware einsetzten. „FortuneCrypt“ erscheine ungewöhnlicher, weil es mit dem „BlitzMax“-Compiler geschrieben worden sei, welches auf öffentlich verfügbaren Informationen basiere. Dessen Programmierungs-Framework sei speziell für Personen entwickelt worden, welche die ersten Schritte im Bereich Videospiel-Entwicklung machten.

Kaspersky-Tipps: IT-Sicherheitsmaßnahmen gegen Ransomware

• Betriebssysteme und verwendete Programme beziehungsweis Apps sollten stets auf dem aktuellen Stand sein, um neueste Sicherheitslücken zu schließen.
• Eine robuste Sicherheitslösung (wie z.B. „Kaspersky Security Cloud“) einsetzen, deren Bedrohungsdatenbanken in Echtzeit auf dem neuesten Stand sind.
• Den Lösegeldforderungen von Cyber-Kriminellen nicht nachkommen. Alles andere würde Cyber-Kriminelle lediglich hinsichtlich ihres illegalen Geschäftsmodells ermutigen. Außerdem gebe es keine Garantie dafür, dass die Erpresser die Daten nach einer Lösegeldzahlung wirklich wieder freigeben.
• Immer Sicherungskopien aller Dateien durch regelmäßige Backups bereithalten, damit bei Verlust die Daten wieder hergestellt werden können – sowohl auf dem Gerät selbst als auch in der Cloud.

Weitere Informationen zum Thema:

NO MORE RANSOM!
Brauchen Sie Hilfe zum Entriegeln Ihres digitalen Lebens, ohne dabei Lösegeld zu zahlen*?

Tomorrow Unlocked auf YouTube, 25.09.2019
hacker:HUNTER „WannaCry – the Marcus Hutchins Story“ coming in October

kaspersky SECURELIST, Victor Chebyshev, Fedor Sinitsyn, Denis Parinov, Boris Larin, Oleg Kupreev, Evgeny Lopatin, 18.08.2019
IT threat evolution Q2 2019. Statistics

KASPERSKY lab, Oktober 2017
Kaspersky Security Network

kaspersky SECURELIST, 12.05.2017
WannaCry ransomware used in widespread attacks all over the world

datensicherheit.de, 26.09.2019
Sicherheitswarnung vor neuer Ransomware-Welle

datensicherheit.de, 24.04.2019
Ransomware: BSI warnt vor gezielten Angriffen auf Unternehmen

datensicherheit.de, 18.03.2019
PSW GROUP warnt: Trojaner Emotet gefährlicher denn je

datensicherheit.de, 16.10.2018
BSI-Lagebericht belegt weiterhin hohes Gefährdungspotential durch Ransomware

Patrick Steinmetz kritisiert nicht-gepatchte IT-Systeme in Unternehmens-Verbünden

[datensicherheit.de, 09.07.2019] Trotz des enormen Gefahrenpotenzials seien immer noch viele IT-Systeme anfällig für Cyber-Angriffe mittels „Bluekeep“, „weil sie noch nicht gepatcht wurden“, warnt Patrick Steinmetz, „DACH Sales“ bei BitSight. Neben Microsoft warnten auch Organisationen wie das BSI, die NSA und das Department of Homeland Security vor dieser Schwachstelle und rieten dringend zu Gegenmaßnahmen – sonst könnte ein Angriff ähnlich verheerende Folgen haben wie der mit „WannaCry“. Es sei „höchste Zeit zu patchen“. Neben der eigenen müssten sich aber Unternehmen mit vielen Lieferanten auch auf deren Cyber-Sicherheit verlassen können – „dabei hilft eine immer wichtiger werdende Unterdisziplin von ,Supply Chain Risk Management‘“.

Microsoft hat Sicherheitslücke Bluekeep entdeckt

Vor etwas mehr als einem Monat habe Microsoft die Sicherheitslücke „Bluekeep“ entdeckt, welche die schlimmsten Cyber-Angriffe seit der berüchtigten Ransomware-Attacke „WannaCry“ im Jahr 2017 ermöglichen könnte.
Steinmetz: „,WannaCry‘ konnte sich nur deshalb so weit ausbreiten und solch immense Schäden verursachen, weil Tausende von Systemen nicht gepatcht waren. Microsoft hatte zwar einen Patch bereitgestellt, der vor ,WannaCry‘ geschützt hätte, aber dieser Patch war bei vielen Systemen nicht aufgespielt worden. So blieben diese Systeme verwundbar.“

RDP-Sicherheitslücke birgt großes Gefahrenpotenzial

Mit „Bluekeep“ drohe sich die Geschichte zu wiederholen: Einige Wochen nach der Entdeckung und Bereitstellung des Patches durch Microsoft seien immer noch fast eine Millionen Systeme mit extern exponiertem „Remote Desktop Protocol“ (RDP) ungepatcht.
Die als „Bluekeep“ bezeichnete RDP-Sicherheitslücke berge ein so großes Gefahrenpotenzial, dass neben Microsoft auch die National Security Agency (NSA) darüber informiere. Microsoft habe mehrere Blogposts darüber veröffentlicht. Die NSA gebe an, dass die terroristische Organisation ISIS nach Wegen suche, „Bluekeep“ für Cyber-Angriffe auszunutzen. Das Department of Homeland Security fordere jeden dazu auf, jetzt seine Systeme zu patchen.

Gemeinsamkeiten zwischen BlueKeep und WannaCry beunruhigend

„Die Gemeinsamkeiten zwischen ,BlueKeep‘ und ,WannaCry‘ sind beunruhigend. Beide sind das Ergebnis von RDP-Exploits. Beide sind Exploits, die ein Wurm ausnutzen kann, der sich dann automatisch über Systeme hinweg verbreiten würde, ohne dass eine Benutzerauthentifizierung oder -interaktion erforderlich ist“, erläutert Steinmetz.
Wenn trotz des „derart hohen Gefahrenpotenzials“ immer noch Systeme ungepatcht sind, stelle sich die Frage nach den Gründen dafür. Einer könnte sein, dass Unternehmen nicht so gewissenhaft sind wie sie sein sollten, wenn es um die Cyber-Sicherheit ihrer Lieferanten geht. Die Transparenz der Cyber-Sicherheit der Lieferkette – oder das Fehlen dieser Transparenz – sei ein großes Problem, besonders in unserer immer stärker vernetzten Welt.

Auch Lieferanten und Partner müssen ihre IT-Systeme routinemäßig patchen

Infolge der Globalisierung arbeiteten Unternehmen völlig selbstverständlich mit Anbietern aus der ganzen Welt zusammen, die IT-Sicherheit sehr unterschiedlich handhabten. „Wie können sie sicher sein, dass ihre Lieferanten und Partner ihre Systeme routinemäßig patchen, um sicherzustellen, dass sie vor Schwachstellen wie ,BlueKeep‘ und ,WannaCry, geschützt sind?“
Unternehmen könnten ihre Lieferanten einfach fragen, „ob sie ihre Sorgfaltspflicht erfüllen und auf gute Cyber-Hygiene achten“. Aber wenn die Lieferanten dann mit „ja“ antworten: „Wer weiß, ob das wirklich wahr ist?“ Unternehmen könnten von ihren Lieferanten auch verlangen, dass sie ihre IT-Sicherheit verbessern, aber die Unternehmen bräuchten dann immer noch einen Weg, um zu prüfen, dass diese Verbesserungen stattgefunden haben und erfolgreich waren („vertrauen, aber überprüfen“). Unternehmen könnten Lieferanten auch von ihrem Netzwerk trennen, aber das könne je nach Wichtigkeit des Lieferanten zu enormen Störungen im eigenen Unternehmen führen.

Cyber-Risiken senken: Unternehmen benötigen Informationen, welche Lieferanten es ernst meinen

Ein besserer Ansatz sei stattdessen, Transparenz über die Cyber-Sicherheit der Lieferanten zu gewinnen. Diese Unterdisziplin von „Supply Chain Risk Management“ werde auch als Risikomanagement des Cyber-Risikos der Lieferanten bezeichnet. „Im Zuge dessen werden zuerst mit technischen Lösungen in Echtzeit und automatisiert die Sicherheitsschwachstellen von Lieferanten aufgespürt. Mit diesem Wissen können Unternehmen zweitens bei ihren Lieferanten darauf hinwirken, gezielt Schwachstellen zu beseitigen“, führt Steinmetz aus. Drittens werde mit den oben erwähnten technischen Lösungen dann überprüft, ob die Schwachstellen tatsächlich erfolgreich beseitigt wurden. „So gewinnen Unternehmen Daten darüber, welche ihrer Lieferanten es ernst meinen, Cyber-Risiken zu senken und dazu beitragen, dass die von ihrer Lieferkette ausgehenden Cyber-Risiken sinken.“
Ohne eine derartige, datenbasierte Transparenz blieben Unternehmen über ihre Lieferkette angreifbar. Genau darauf setzten Organisationen wie ISIS und andere Gruppen. Sie wüssten, dass manche Unternehmen Themen wie „Bluekeep“ nicht so viel Aufmerksamkeit schenken wie sie sollten. Denn die Angreifer bräuchten nur eine einzige passende Schwachstelle, um einen sich rasend schnell ausbreitenden Angriff durchzuführen.

Malware, die Bluekeep ausnutzt, nur noch eine Frage der Zeit

Derzeit seien bei Unternehmen aus den Branchen Telekommunikation, Bildung und Technologie noch die meisten Systeme ungepatcht und daher verwundbar für Angriffe über „Bluekeep“. Es könnte schwerwiegende Folgen haben, wenn ein Angreifer unter Ausnutzung von „Bluekeep“ in das Kommunikationsnetz eines Landes eindringen würde.
Unternehmen müssen so viele Schwachstellen wie möglich schließen, um Angreifern keine Gelegenheiten zu bieten. Sie sollten sich nicht zurücklehnen und darauf warten, „bis Malware erkannt wird, denn das ist nur eine Frage der Zeit“. Unternehmen dürften auch nicht das Risiko eingehen, ungewollt bei der Finanzierung eines Terroranschlags mitzuwirken, „indem sie bösartigen Akteuren erlauben, Zugang zu ihren Konten zu erlangen“. Stattdessen müssten Unternehmen Transparenz in ihre Lieferkette und die davon ausgehenden Cyber-Risiken bringen. Sie müssten Schwachstellen bei sich und bei ihren Lieferanten schließen. „Dazu brauchen sie Planung und Vorbereitung. Noch existiert so gut wie keine Malware, die ,Bluekeep‘ ausnutzt, aber das ist nur eine Frage der Zeit. Es ist jetzt Zeit zu handeln, bevor ,Bluekeep‘ zu ,WannaCry 2.0‘ wird“, betont Steinmetz.

Foto: BitSight

Patrick Steinmetz: Zeit zu handeln, bevor „Bluekeep“ zu„WannaCry 2.0“ wird!

Weitere Informationen zum Thema:

NSA
NSA Cybersecurity Advisory: Patch Remote Desktop Services on Legacy Versions of Windows

Microsoft
TechNet / CVE-2019-0708

HomelandSecurityToday.us, 17.06.2019
New ISIS Cybersecurity Bulletin Shows Interest in Microsoft BlueKeep Bug

BITSIGHT, 11.06.2019
New Study: Organizations Struggle to Manage Cyber Risk in Their Supply Chains

datensicherheit.de, 05.07.2019
Verborgene Cyberrisiken treffen Versicherer und Versicherte

datensicherheit.de, 15.06.2019
Check Point: Top Malware im Mai 2019

datensicherheit.de, 27.06.2018
Studie: WannaCry ließ Bewusstsein für Cyber-Risiken wachsen

Angst vor finanziellen Schäden durch Ransomware bewirkt Budgeterhöhungen und Zunahme an Mitarbeiterschulungen

[datensicherheit.de, 27.06.2018] Das Bewusstsein von Unternehmen für Cyber-Risiken und die notwendige Implementierung von Schutzmaßnahmen sei nach der großangelegten „WannaCry“-Attacke 2017 gewachsen – so das Ergebnis einer von SentinelOne in Auftrag gegebenen Studie: 34 Prozent der befragten IT-Experten aus Deutschland hätten angegeben, dass das Cybersecurity-Budget ihres Unternehmens in Folge von „WannaCry“ erhöht worden sei. In mehr als der Hälfte der Unternehmen (55%) habe zudem die Bedeutung von Mitarbeiterschulungen und Sensibilisierungs-Programmen zugenommen. Dass diese Ransomware-Attacke dabei nicht nur in den IT-Abteilungen ihre Spuren hinterlassen, sondern auch die Geschäftsführungs- und Vorstandsebene zum Umdenken gebracht habe, liege vor allem am Bekanntwerden der hohen finanziellen Verluste, wie z.B. bei der Reederei Maersk.

Abbildung: SentinelOne

Auswirkungen von „WannaCry“ auf deutsche Unternehmen

Veränderte Angriffsmethoden

Ein entscheidender Grund, warum die Abwehr von Ransomware für Unternehmen immer mehr zu einer Herausforderung wird, sind demnach veränderte Angriffsmethoden der Cyber-Kriminellen:
Rund vier von zehn (39%) der befragten Sicherheitsexperten in Deutschland hätten etwa von einer höheren Infektionsgeschwindigkeit berichtet. Ebenso viele beklagten ein größeres Ausmaß an Infektionen (laterale Bewegungen der Malware im Netzwerk), gezieltere Hacks sowie vermehrte dateilose Angriffe.

Traditionelle Lösungen hinter sich lassen!

In Bezug auf Sicherheitstechnologien und Verteidigungsmaßnahmen habe die Mehrheit der Unternehmen die Notwendigkeit, neue Wege zu gehen und traditionelle Lösungen hinter sich zu lassen, immerhin erkannt:
Acht von zehn deutschen Befragten seien der Meinung, dass eine neue Lösung zum Schutz von Unternehmen vor Ransomware erforderlich sei, und 79 Prozent seien überzeugt, nur mittels verhaltensbasierter Analysen komplexere Angriffe mit Verschlüsselungs-Malware zu verhindern.

Unterstützung durch Politik und Regierung gefordert

Aber auch von Seiten der Politik und Regierung wünschten sich die befragten IT-Manager aus Deutschland Unterstützung im Kampf gegen Cyber-Kriminalität:
So forderten 59 Prozent mehr Mittel für die Strafverfolgungsbehörden, um Cyber-Kriminelle aufzuspüren, 57 Prozent erhofften sich eine stärkere internationale Zusammenarbeit zwischen den Ländern und 48 Prozent forderten eine Überarbeitung von Gesetzen, um härtere Strafen gegen Hacker verhängen zu können.

Hohe Dunkelziffer bei Ransomware-Angriffen

Eine gezieltere Strafverfolgung der Täter dürfte jedoch insofern schwierig sein, als viele Unternehmen Ransomware-Angriffe immer öfter verschwiegen:
Hätten im „SentinelOne Ransomware-Report 2016“ noch 59 Prozent der deutschen Sicherheitsverantwortlichen angegeben, nach einer Ransomware-Attacke die Polizei informiert zu haben, liege der Anteil im aktuellen Report nur noch bei 44 Prozent. Diese Verschwiegenheit könne Unternehmen jedoch vor allem hinsichtlich der strengen Meldepflichten der neuen EU-DSGVO teuer zu stehen kommen.

„WannaCry“ führte zu konkreten Maßnahmen und Aktionen

„Der großangelegte WannaCry-Angriff im letzten Jahr hat hohe Schäden verursacht und nachhaltig für Verunsicherung gesorgt. Eine positive Auswirkung ist jedoch, dass Geschäftsführern und Vorständen so die verheerenden Folgen vor Augen geführt wurden, die mit solch einer Attacke verbunden sein können“, sagt Matthias Canisius, „Regional Director DACH“ bei SentinelOne.
Es sei ermutigend zu sehen, dass sich dies in konkreten Maßnahmen und Aktionen niederschlage, wie z.B. Budgeterhöhungen oder Mitarbeiterschulungen. Canisius: „Wir können es uns nicht leisten, selbstgefällig zu sein, denn Ransomware-Angriffe verbreiten sich immer schneller und werden immer zerstörerischer und raffinierter.“ Unternehmen müssten hierbei Schritt halten und Techniken einsetzen, die selbst hochverschleierte Schadsoftware erkennen können.

500 IT-Sicherheitsentscheider zum Thema „Ransomware“ befragt

Nach eigenen Angaben hat SentinelOne das unabhängige Marktforschungsunternehmen Vanson Bourne beauftragt, im Februar 2018 insgesamt 500 IT-Sicherheitsentscheider aus Unternehmen mit mehr als 1.000 Mitarbeitern zum Thema „Ransomware“ zu befragen.
Diese Stichprobe sei branchenübergreifend und umfasse 200 Unternehmen aus den USA sowie jeweils 100 Unternehmen aus Deutschland, Frankreich und Großbritannien. Die Interviews seien online in einem strengen mehrstufigen Screening-Verfahren durchgeführt worden, um sicherzustellen, dass nur geeignete Kandidaten die Möglichkeit zur Teilnahme hatten.

Weitere Informationen zum Thema:

SentinelOne
SENTINELONE 2018 GLOBAL RANSOMWARE RESEARCH REVEALS MOUNTING GLOBAL COST OF RANSOMWARE

datensicherheit.de, 29.06.2017
Petya: Bedeutung größer als nur die von einer Art WannaCry 2.0

datensicherheit.de, 18.05.2017
WannaCry: Cyber-Attacke sollte Initialzündung für Taten sein

[datensicherheit.de, 27.06.2018] Laut einer aktuellen Meldung von ESET hatte am 12. Mai 2017 einer der „bisher aggressivsten“ Cyber-Angriffe mit der Ransomware „WannaCryptor“ stattgefunden – innerhalb weniger Minuten hätten Tausende von Unternehmen in mehr als 150 Ländern zusehen müssen, wie über 200.000 Computer verschlüsselt und durch diese Lösegeld-Software unzugänglich gemacht wurden. Nach eigenen Angaben konnte ESET seine Geschäftskunden damals vor den zum Teil dramatischen Folgen dieses großen Malware-Ausbruchs dank der „Network Attack Protection“-Technologie bewahren.

Rückblick: Sicherheitslücke in Microsofts Implementierung des SMB-Protokolls missbraucht

Die massiven Attacken mit der Ransomware „WannaCryptor“ vom 12. Mai 2017 seien Sinnbild für einen der bisher aggressivsten Cyber-Angriffe – in Tausenden von Unternehmen in mehr als 150 Ländern seien über 200.000 Computer verschlüsselt und durch eine Lösegeld-Software unzugänglich gemacht worden. Ein immenser Datenverlust habe gedroht. Die Lösegeldforderungen hätten Schäden in Höhe von Hunderten von Millionen bis Milliarden US-Dollar verursacht.
Die Angreifer hinter „WannaCryptor“ (oder auch „WannaCry“ bzw. „Wcrypt“) hätten einen ausgeklügelten Exploit namens „EternalBlue“ ausgenutzt. Dieser sei angeblich der US National Security Agency (NSA) gestohlen und in Hacker-Kreisen verbreitet worden – eine „Black Hat“-Gruppe namens „Shadow Brokers“ habe ihn online gestellt.
Dieser Exploit habe die Sicherheitslücke (CVE-2017-0144) in Microsofts Implementierung des „Server Message Block“-Protokolls über Port 445 missbraucht. Durch das Scannen des Internets nach solchen SMB-Ports habe der Ransomware-Wurm seinen Code auf exponierten, anfälligen Systemen ausführen können. Anschließend habe er sich darüber sowohl im internen Netzwerk des betroffenen Unternehmens als auch im Internet weiter verbreitet.

Wirkungsvoller Schutz auch für ungepatchte Systeme möglich

Die meisten der befallenen Systeme seien mit einer ungepatchten Version von „Windows 7“ betrieben worden. Aber auch Systeme, die nicht über die kritischen, von Microsoft am 14. März 2017, also zwei Monate vor dem Angriff, veröffentlichten Microsoft-Patches verfügten hätten, seien demnach durch eine hochwertige mehrschichtige Sicherheitslösung geschützt worden.
Basierend auf einer am 25. April 2017 hinzugefügten Netzwerkerkennung sei ESETs „Network Attack Protection Layer“ in der Lage gewesen, diese mit Hilfe von „EternalBlue“-Exploits durchgeführten Angriffe zu blockieren. Dadurch habe die ESET-Lösung verhindern können, dass Schadcode in die Zielsysteme geschleust wird. Auch die „WannaCryptor“-Ransomware-Familie sowie anderer Schadcode, der versuchen könnte, den gleichen Verteilungsmechanismus zu verwenden, sei „wirkungsvoll geblockt“ worden.
Die beträchtliche Anzahl von infizierten Geräten im „WannaCryptor“-Fall zeige, wie wichtig regelmäßig durchgeführte Patches für die gesamte IT-Security in einem Unternehmen sind. Dies könne jedoch unter Umständen ein zeitaufwändiger, mühsamer und teurer Prozess sein. Durch die Installation mehrschichtiger Sicherheitslösungen (eben z.B. von ESET) verbesserten Unternehmen ihren Schutz, bis wichtige Updates ordnungsgemäß getestet und anschließend bereitgestellt werden können. Die Schutztechnologie könne auch dazu beitragen, Endgeräte zu schützen, die nicht gepatcht oder einfach ausgetauscht werden können. Auch nur gelegentlich eingesetzte Geräte in großen Netzwerken seien selbst dann geschützt, sobald sie beim Testen und Ausrollen von Patches im gesamten Unternehmen versehentlich übersehen werden sollten.

Angriff mit „WannaCry“ als relativ harmloser Vorläufer großer Gefahren

[datensicherheit.de, 31.05.2017] In seinem jüngsten Kommentar geht Oliver Keizers, „Regional Director DACH“ bei Fidelis Cybersecurity, den Fragen nach, ob „WannaCry“ nur eine simple Erpressung war, was Cyber-Angriffe dieses Ausmaßes eigentlich sind, ob wir über Massenvernichtungswaffen moderner Bauart reden und ob wir einen Cyber-Waffen-Sperrvertrag benötigen… Die Gesellschaft und die Weltgemeinschaft sollten seiner Ansicht nach über diese Themen reden. Vor Kurzem machte der Ransomware-Angriff „WannaCry“ weltweit Schlagzeilen, als an einem Freitag plötzlich unzählige Systeme bei Firmen und Privathaushalten ausfielen. Diese Ransomware nutzt eine Schwachstelle, Exploit genannt, bei „Windows“-Systemes, den der US-Geheimdienst NSA gefunden, technisch umgesetzt und nicht an Microsoft gemeldet haben soll – offensichtlich, um sie selbst als Angriffsvehikel zu nutzen. Diese werden unter den Namen „EternalBlue“ und „DoublePulsar“ geführt, sind aus den „The Shadow Brokers“-Leaks bekannt und wurden bereits erfolgreich im April 2017 eingesetzt. Laut Keizers fehlt in der bisherigen Berichterstattung zu dem Thema eine wichtige Dimension:

Diesmal war es nur lästige Ransomware…

„Es gibt zu dieser Geschichte zwei Ebenen: die politische und die technische. Auf technischer Seite wird zwar viel über die Schwachstelle berichtet, auf der der Angriff beruht, und über den Notfallschalter, der den Angriff stoppen konnte. Aber was der Angriff eigentlich gezeigt hat, ist, dass Ransomware vor allem eines ist: lästig wie eine Mücke im Sommer“, erläutert Keizers.
Spreche man mit betroffenen Unternehmen, so habe es wenige gegeben, die das vergleichsweise ungewöhnlich geringe Lösegeld gezahlt, und deutlich mehr, welche einfach ein Backup zurückgesichert hätten – der schwierigste Faktor dabei sei der ungünstige Zeitpunkt Freitagnachmittag gewesen, wenn der IT-Support nicht immer ideal zu erreichen sei. Viele Unternehmen seien auch gar nicht betroffen gewesen, da sie schon heute IT-Sicherheitssysteme einsetzten, die den Angriff erkannt und verhindert hätten.
Keizers: „Was wäre aber gewesen, wenn es den Angreifern gar nicht um das Lösegeld gegangen wäre – sondern um den Diebstahl von wichtigen Daten oder die Zerstörung der Wasser- oder Energieversorgung eines Landes?“ Hierfür müsse man unterscheiden zwischen dem Angriffsvehikel und der darin enthaltenen Waffe. Vergleichbar einem Marschflugkörper, der mit nuklearen oder konventionellen Sprengköpfen ausgestattet werden könne, so habe die Ausnutzung des Exploits über „EternalBlue“ und die Backdoor „DoublePulsar“ diesmal nur lästige Ransomware mit sich gebracht – es hätte aber auch anderer Schadcode sein können.

Problemlösung muss global gedacht werden!

„So hätten die Kriminellen hinter ,WannaCry‘ wichtige Pläne oder andere Daten stehlen können, während man selbst noch mit dem Wiederaufsetzen des betroffenen Rechners beschäftigt war. Was, wenn der Angriff eben nicht nur ,lästig‘, sondern potenziell wirklich schädlich gewesen wäre – nämlich, wenn wirklich vertrauliche Daten entwendet worden wären?“, fragt Keizers.
Der Aufschrei und die Aufmerksamkeit für Ransomware als Thema sei groß gewesen, aber gerade der deutsche Mittelstand dürfe dabei nicht vergessen, dass so ein Exploit auch viel gefährlicher und vor allem stiller genutzt werden könne.
Die im Augenblick vielfach vorgebrachte Forderung und Ermahnung, man solle Patches umgehend einspielen, sei deshalb auch absolut richtig, greife aber global gesehen zu kurz. Keizers: „Solange Lücken zwar von staatlichen Stellen gefunden, aber nicht dem Hersteller gemeldet werden müssen, damit dieser den Fehler beheben kann, bleibt immer ein ,Geschmäckle‘. Wie viele vergleichbare Angriffslücken gibt es noch, wie kann man eine Gesellschaft, die von IT abhängig ist, schützen? Selbst wenn also – und das an sich ist in der Realität der Unternehmen utopisch – sämtliche verfügbaren Patches sofort und umgehend installiert werden würden, was ist da noch, von dem wir nichts wissen?“
Das bringe uns auch gleich zur politischen Ebene. Die Risiken hinter solchen unbekannten Sicherheitslücken seien enorm – und man habe am bewussten Wochenende gesehen, wie viele Menschen weltweit auf einmal betroffen sein könnten.
Am Ende des Tages sei ein Exploit deshalb in unserer heutigen, digitalen Welt im Grunde nichts Anderes als eine „virtuelle Massenvernichtungswaffe“ – selbst Microsoft habe den genutzten Exploit mit gestohlenen „Tomahawk“-Marschflugkörpern verglichen. Genauso wie „Tomahawks“ als Träger für nukleare Sprengköpfe sowie für konventionelle Waffen verwendet werden könnten, könnte solch ein Vorfall beim nächsten Mal deutlich mehr Schaden anrichten, der über ein reines Ärgernis erheblich hinausgehe.

Foto: Fidelis Cybersecurity

Oliver Keizers: Analog zu Kernwaffensperrverträgen auch über Cyber-Waffensperrverträge diskutieren!

Cyber-Waffen als potenzielle Massenvernichtungsmittel

Dieser Angriff wie auch der „DoublePulsar“-Angriff im April 2017 hätten gezeigt, dass eine dringende Notwendigkeit bestehe, analog zu Kernwaffensperrverträgen auch über Cyber-Waffensperrverträge zu diskutieren.
Angriffe mit nuklearen, biologischen oder chemischen Kampfstoffen seien in unserer Welt geächtet, da sie nicht zielgerichtet, sondern willkürlich töteten. Bei Massenvernichtungswaffen sei die begründete Angst vor völliger gegenseitiger Vernichtung die treibende Kraft. Ein entsprechend ausgeführter Angriff mit Cyber-Waffen stehe dem in nichts nach.
„Als globale Gesellschaft regulieren wir zum Wohle aller die ABC-Waffen, aber für digitale Angriffe gibt es weder Selbstverpflichtungen, noch Komitees, die IT-Nutzer und Unternehmen schützen. Das muss sich ändern!“, fordert Keizers.

Weitere Informationen zum Thema:

datensicherheit.de, 31.05.2017
Im Fadenkreuz der Cyber-Kriminellen: Mittelständler als leichtes Ziel

datensicherheit.de, 16.03.2017
BSI-Warnung: Tausende Clouds in Deutschland für Cyber-Attacken anfällig

[datensicherheit.de, 18.05.2017] Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) sieht nach eigenen Angaben die weltweit verteilten Angriffe mit der Schadsoftware „WannaCry“ als Weckruf für das gemeinsame Handeln der Verantwortlichen in Unternehmen und Organisationen. Gleichzeitig warnt TeleTrusT vor insgeheimer staatlicher Nutzung von IT-Sicherheitslücken.

Absage an Ausnutzung von „Zero Day Exploits“

Bei „WannaCry“ handelt es sich offenkundig um Erpressungssoftware, die eine Sicherheitslücke in Microsofts „Windows“-Betriebssystem ausnutzt. Die US-Geheimdienstbehörde NSA soll sie für eigene Spähangriffe genutzt und nicht an Microsoft gemeldet haben.
Nun haben Hacker diese Sicherheitslücke, welche die NSA offensichtlich schon lange kennt und nutzt, für einen erfolgreichen Angriff gegen Kritische Infrastrukturen, wie z.B. in Deutschland die Deutsche Bahn und Krankenhäuser in Großbritannien, verwendet. Microsoft hatte zwar einen Patch zum Schließen der Lücke veröffentlicht – auf vielen Rechnern wurde die Schwachstelle jedoch offenbar nicht rechtzeitig bereinigt.
„Dem Ausnutzen von Sicherheitslücken, für die es noch keinen Schutz gibt (Zero Day Exploits), durch staatliche Institutionen erteilen wir eine Absage. Solange Nachrichtendienste erkannte Schwachstellen nicht den betroffenen Herstellern melden, sondern für Zwecke des Ausspähens nutzen, wird der Weg bereitet für Cyber-Attacken, die eigentlich verhindert werden können“, betont Prof. Dr. Norbert Pohlmann, der TeleTrusT-Vorsitzende.

Schlecht gewartete, veraltete und ungesicherte, aber dennoch vernetzte Systeme als Ursache

Besonders beunruhigend sei, dass viele der aktuell betroffenen Systeme zu Betreibern Kritischer Infrastrukturen gehörten. Gerade dort sollte das Bewusstsein für IT-Sicherheit geschärft sein und entsprechende Vorkehrungen – wie zum Beispiel eine sinnvolle Separierung – getroffen werden, und zwar nicht erst dann, wenn die Betreiber durch Gesetzgebung dazu gezwungen werden.
„Wie viele Weckrufe sind noch erforderlich, damit Unternehmen und Organisationen endlich reagieren und IT-Sicherheit die erforderliche Beachtung schenken? Wieder einmal sind schlecht gewartete, veraltete und ungesicherte, aber dennoch vernetzte Systeme die Ursache für den Erfolg eines großflächigen Angriffs. Das derzeitige IT-Sicherheitsniveau erfüllt die Ansprüche offensichtlich nur ungenügend, obwohl wir insbesondere in Deutschland über vertrauenswürdige IT-Sicherheitstechnologien verfügen“, so der kritische Kommentar des stellvertretenden TeleTrusT-Vorsitzenden, Dr. Rainer Baumgart.
Es sei höchste Zeit, „dass die Verantwortlichen zusammenarbeiten, um mit Hilfe einer gemeinsamen und klaren Cyber-Sicherheitsstrategie dafür zu sorgen, dass der Digitalisierungsprozess nachhaltig sicher und vertrauenswürdig umgesetzt wird, damit solche Angriffe in Zukunft verhindert werden“.
Diese essentiellen Forderungen habe ein Gremium aus IT-Sicherheitsexperten bereits in einem „Manifest IT-Sicherheit“ ausformuliert. Die aktuelle, schwere Cyber-Attacke sollte als Initialzündung dienen, um nun Taten folgen zu lassen.

Weitere Informationen zum Thema:

TeleTrusT
Manifest IT-Sicherheit / Gemeinsames Thesenpapier von TeleTrusT und Bundesverband der IT-Anwender (VOICE)

datensicherheit.de, 16.05.2017
WannaCry-Attacken: Verantwortung übernehmen statt Schuld zuweisen

datensicherheit.de, 13.05.2017
WannaCry: Weltweite Cyber-Attacken mit neuer Ransomware

[datensicherheit.de, 16.05.2017] Dieser Vorfall, so BSI-Präsident Arne Schönbohm, zeige, „dass das IT-Sicherheitsniveau in Deutschland sehr unterschiedlich ist. Während Teile der Wirtschaft gut aufgestellt sind, gibt es in anderen Teilen Nachholbedarf“. „WannaCry“ sei erneuter und eindringlicher „Weckruf, mehr in die IT-Sicherheit zu investieren“. Im internationalen Vergleich liege Deutschland in Bezug auf die Betroffenheit durch „WannaCry“ nur auf Platz 13. Schönbohm: „Die zahlreichen Initiativen und Maßnahmen, die das BSI als nationale Cyber-Sicherheitsbehörde auch gemeinsam mit der Wirtschaft in den letzten Jahren durchgeführt hat, tragen hier Früchte. Dennoch können wir keine Entwarnung geben.“ Diese Ransomware sei nach wie vor im Umlauf und verbreite sich auch in Deutschland. Das BSI geht nach eigenen Angaben davon aus, dass die Täter und Trittbrettfahrer immer neue Varianten in Umlauf bringen. Wichtigste Schutzmaßnahme sei es, das bereits seit Monaten verfügbare Sicherheitsupdate von Microsoft einzuspielen. Zudem sollten aktuelle Virenschutz-Lösungen eingesetzt werden. „Betroffene Unternehmen rufen wir auf, sich über die etablierten Meldekanäle vertraulich an das BSI zu wenden. In keinem Fall sollten Betroffene auf die Lösegeldforderungen eingehen“, betont der BSI-Präsident.

Ransomware entsteigt dem DarkNet und verbreitet sich über Open-Source-Software-Kanäle

„Ransomware-Taktiken und -Techniken sowie Prozeduren sind nicht mehr auf das DarkNet beschränkt“, warnt Chris Fearon, „Director of Security Research“ bei Black Duck.
Sie würden zunehmend durch Open-Source-Software-Kanäle zugänglich. Infolgedessen werde die Barriere für die Erstellung von Schadsoftware reduziert. Im Zeitalter von Open-Source-Ransomware sei es zwingend erforderlich, erklärt Fearon, „dass Schwachstellen-Management-Prozesse robust sind und die Software-Supply-Chain sicher ist, um zu verhindern, dass opportunistische Angreifer Business-Funktionen ausnutzen“.

Auch Cyber-Kriminelle patchen – ihre Ransomware

Am 15. Mai 2017 sei eine neue Version der „WannaCry“-Malware identifiziert worden, berichtet Catalin Cosoi, „Chief Security Strategist“ bei Bitdefender. Die hinter dem Angriff stehende Hacker-Gruppe habe die ursprüngliche Malware gepatcht, indem sie wenige Bytes geändert habe, um den die Verbreitung der initialen Welle unterbindenden den „Kill Switch“ zu beseitigen.
„WannaCry 1.0“ und „2.0“ seien nur der Beginn von „EternalBlue“-basierten Bedrohungen. Cosoi: „Wahrscheinlich wird es zunächst einmal schlechter, bevor es dann wieder besser wird.“ So werde uns „WannaCry“ als eine der ernsthaftesten Bedrohungen in den kommenden zwölf Monaten begleiten – außer: „Microsoft entscheidet sich, etwas dagegen zu tun – wie zum Beispiel die Durchführung eines Updates zu erzwingen.“ Das sei bereits in der Vergangenheit gemacht worden und die aktuelle Bedrohung würde es rechtfertigen, es wieder zu tun – auf kontrollierte und koordinierte Art und Weise und mit Unterstützung von Behörden und der Security-Branche. Dies wäre rechtlich in einer Grauzone. Aber uns lehre die Erfahrung, dass bei Cyber-Kriminalität die Gesetzgebung oftmals zu spät komme. Daher sei es jetzt wichtiger als je zuvor, dass Strafverfolgungsbehörden und Security-Hersteller zusammenarbeiteten, fordert Cosoi.
Bekannt als „EternalBlue“, sei die besagte „Windows“-Sicherheitslücke von Microsoft in einem Patch geschlossen worden, den das Unternehmen am 14. März 2017 – als Teil des „Patch Tuesday“ zur Verfügung gestellt habe. „Aber es scheint, dass nicht viele Organisationen diesen Patch tatsächlich in ihren Infrastrukturen implementiert haben“, vermutet Cosoi. Infolgedessen sei es nur eine Frage der Zeit gewesen, bis eine Gruppe von Cyber-Kriminellen die bekanntgewordene Verwundbarkeit „als Waffe“ nutzen würde, um ungepatchte „Windows“-Systeme anzugreifen.

Kliniken machen es Angreifern oft allzu leicht

Roland Stritt, „Director Channels EMEA“ bei Rubrik, geht auf die Frage ein, warum das Gesundheitswesen ein besonders attraktives Ziel für die Cyber-Kriminellen ist:
„Krankenhäuser sind auf einen rund um die Uhr verfügbaren Zugang zu ihren Daten angewiesen. Patientendatensätze, Bilddaten und andere klinische Daten werden heute oft ausschließlich in digitaler Form abgelegt. Hinzu kommen automatisierte Systeme, etwa für die Medikamentengabe, die überlebenskritisch sein können“, so Stritt.
Kriminelle hätten diese „immense Bedeutung von Daten und Geräten“ erkannt und nähmen immer häufiger Kliniken ins Visier. Diese machten es den Angreifern oft allzu leicht – aufgrund veralteter Betriebssysteme mit bekannten Schwachstellen sowie vieler Schlupflöcher, wo klassische IT und medizinische Geräte verknüpft seien. Patientendaten würden zwischen verschiedenen Abteilungen und Standorten übertragen, so dass sich eine Infektion schnell ausbreiten könne.
Wie bei allen Cyber-Bedrohungen könne das Risiko nach Meinung von Rubrik durch eine „Defense-in-depth“-Strategie reduziert werden. Indem die Software auf aktuellem Stand gehalten werde, sinke zumindest die Gefahr einer Infektion durch die Ausnutzung bekannter Schwachstellen. Durch die Nutzung von Virtualisierung oder Containern könnten Software-Updates ohne Betriebsunterbrechungen durchgeführt werden. Idealerweise sollten Systeme mit Zugang zu kritischen Daten nur zu diesem Zweck verwendet werden, was sich mittels einer entsprechenden Sicherheitsrichtlinie durchsetzen lasse. Stritt: „Generell geht es darum, die Angriffsfläche zu reduzieren.“
Dennoch gebe es keinen vollständigen Schutz vor Ransomware. Das Risiko lasse sich aber erheblich minimieren, indem Sicherheit und Datensicherung integriert würden. Es sollten nicht nur Angriffe vereitelt werden, sondern der Zugang zu den Daten selbst bei erfolgreichem Angriff müsse erschwert werden, erläutert Stritt. Für den Fall einer Kompromittierung gelte es, zuverlässige und effektive Sicherungen der kritischen Daten bereitzuhalten. „Mit einer effektiven Backup-Lösung kann Ransomware im Idealfall auf kleinere Unannehmlichkeiten mit minimaler Wirkung auf die Patientenversorgung reduziert werden“, sagt Stritt.

Schon im April 2017 entsprechender Warnhinweis

Das von „WannaCry“ angerichtete Chaos hätte sich durch ein effizientes „Software Vulnerability“-Management sehr leicht vermeiden lassen – integriert in die Unternehmens-IT, identifizierten diese Lösungen Softwareschwachstellen automatisch und stellten den Sicherheitsteams Patches priorisiert nach ihrer Gefährlichkeit zur Verfügung. Unternehmen mit einem solchen automatisierten „Software Vulnerability“-Management liefen keine Gefahr, von Attacken wie „WannaCry“ überrascht zu werden, führt Kasper Lindgaard, „Direktor Secunia Research“ von Flexera Software aus. Diese Lösungen garantierten ein zuverlässiges und frühzeitiges Patchen von Schwachstellen und seien die Grundlage, um Sicherheitsrisiken effizient zu senken.
„Um es ganz offen zu sagen: Wer zwei Monate wartet, um ein wichtiges Microsoft-Patch anzuwenden, macht etwas grundlegend falsch“, unterstreicht Lindgaard. Im Fall von „WannaCry“ habe es bereits im April 2017 einen entsprechenden Warnhinweis gegeben. Für Unternehmen sei dies ein „deutlicher Weckruf“, diese Art von Bedrohungen und Risiken endlich ernst zu nehmen. Lindgaard: „Es gibt hier einfach keine Entschuldigung mehr, dies nicht zu tun.“

KMU brauchen Business-Continuity-Strategie und verlässlichen „Managed Service“-Provider

Andrew Stuart, „Managing Director“ bei Datto, betont die Wichtigkeit eines guten Backups und eines starken Partners, wenn es zu solchen Attacken kommt:
„WannaCry hat schon allein wegen der weiten Verbreitung solche Aufmerksamkeit bekommen. In einer Zeit, in der häufig über gezielte Angriffe gesprochen wird, ist eine solche, weit verbreitete Attacke eher unüblich geworden. Das heißt aber nicht, dass der Angriff nur völlig unkoordiniert in die Breite ging – bemerkenswert ist zum Beispiel der Zeitpunkt.“ So seien erste Ausfälle in Europa am Freitagnachmittag berichtet worden – zu einer Zeit, wenn viele Betriebe bereits nur noch zur Hälfte besetzt seien und sich Mitarbeiter aufs Wochenende vorbereiteten. Gerade für kleine Unternehmen heiße das, „dass dann vielleicht der IT-Support bereits nicht mehr vor Ort ist und man in der allgemeinen Aufregung versucht, sich mühsam selbst zu helfen – ein Unterfangen, das ohne ein gutes Backup eigentlich schon zum Scheitern verurteilt ist.“
Der Angriff habe damit gezeigt, dass gerade für die sogenannten KMU, die zum größten Teil den deutschen Mittelstand ausmachen, zwei Dinge unabdingbar sind: Eine schnelle und effektive Business-Continuity-Strategie und ein starker Partner, mit dem man diese im Notfall umsetzen kann.
Heutige Technik mache es möglich, ein nicht-infiziertes Backup im Bestfall innerhalb von sechs Sekunden wieder auf das System zu spielen, damit größere Ausfälle durch Ransomware-Attacken wie „WannaCry“ verhindert werden könnten. Stuart: „Dabei helfen einem ,Managed Service Provider‘, die entsprechende Lösungen implementieren und die das kleine mittelständische Unternehmen auch an einem Freitagnachmittag nicht im Regen stehen lassen. Dadurch wird etwas, dass heute vielen Firmeninhabern schwere Kopfschmerzen bereitet, zu einer lästigen Störung, die schnell behoben werden kann und gegen die man sich dann mit Hilfe seines IT-Partners absichert.“

Ransomware greift über Phishing oder Social-Engineering-E-Mails an

Es scheine sich bei der am 12. Mai 2017 eingesetzten Malware um eine Variante von „WanaDecryptor“ zu handeln, einer relativ neuen Form von Ransomware, so Phil Richards, CISO von Ivanti. Diese spezielle Ransomware werde von 30 Prozent der AV-Anbieter mit aktuellen Virendefinitionen korrekt identifiziert und blockiert. Sowohl Kaspersky als auch BitDefender gingen korrekt damit um. Aktuell sei kein allgemeiner Schlüssel für die Dekodierung (Crack-Code) verfügbar. Diese Malware verändere Dateien in den Verzeichnissen „/Windows“ und „/windows/system32“ und infiziere weitere Benutzer im Netzwerk. Beide Aktionen erforderten Administratorrechte, weiß Richards.
Die Ransomware greife über Phishing oder Social-Engineering-E-Mails an. Richards rät Betrieben, die Mitarbeiter zu schulen, unbekannte oder bösartige E-Mails zu ignorieren. Sofort sollten die Microsoft-Patches aktualisiert werden, insbesondere „MS17-010“. Richards: „Das wird die Ausbreitung der Ransomware verlangsamen.“ Alle Endpunkte sollten mit effektiver Antivirus-Software ausgestattet werden. Wenn Virendefinitionen aber auch nur eine Woche veraltet sind, wird die AV-Software diese Ransomware nicht erkennen, so seine Warnung.
Richards rät ferner, Administratorrechte zu beschränken und nur die Ausführung von „Whitelist“-Software zu erlauben. Diese Malware wäre nicht so erfolgreich, wenn sie keinen Zugriff auf Admin-Berechtigungen hätte, und wenn sie in der „Whitelist“ mit erlaubter Software nicht aufgelistet ist, könnte sie grundsätzlich nicht laufen.
„WannaCrypt“ sei auch als „Wana Decrypt0r 2.0“, „WanaDecryptor“, „WannaCry“, „WanaCrypt0r“, „Wcrypt“ bzw. „WCRY“ bekannt. Diese Ransomware verwende mehrere Angriffsvektoren: Anfällig seien alle „Windows“-Versionen vor „Windows 10“ ohne das Sicherheitsupdate „MS17-010“ vom März 2017. „Windows XP“ und „Server 2003“ seien besonders anfällig, da bis zum 12. Mai 2017 kein Patch für diese Schwachstelle auf diesen Betriebssystemen verfügbar gewesen sei.

„WannaCry“ als letzte Warnung

„Alte ,Windows‘-Versionen wie ,XP‘ oder ,Vista‘, für die seit längerer Zeit keine weiteren Updates mehr bereitgestellt werden, sind nach wie vor stark verbreitet“, so Peter Meyer, Leiter des Anti-Botnet-Beratungszentrums „Botfrei“ im eco – Verband der Internetwirtschaft e.V.
Regelmäßige Updates und aktuelle Betriebssysteme verhinderten indes Infektionen mit Erpressungstrojanern wie z.B. „WannaCry“. Dennoch nutzten viele Betriebe und Privatpersonen noch PCs mit gravierenden Sicherheitslücken: „Von ,WannaCry‘ sind insbesondere Internetnutzer und Unternehmen betroffen, die es in den letzten acht Wochen versäumt haben, ein entsprechendes Update zu installieren“, sagt Meyer.
„Unternehmen sollte ,WannaCry‘ als letzte Warnung dienen. Wer immer noch nicht verstanden hat, wie wichtig sichere IT-Systeme sind, der gefährdet seine unternehmerische Existenz“, betont Meyer. Die Ransomware „WannaCry“ zeige erneut, wie viele Personen und Unternehmen unsichere Systeme einsetzten: In Großbritannien seien beispielsweise viele Krankenhäuser betroffen, in Deutschland die Deutsche Bahn, in den USA das Logistikunternehmen FedEx und in Spanien das Telekommunikationsunternehmen Telefónica. Mehrere zehntausend Computer in über 100 Ländern hätten sich mit „WannaCry“ infiziert, so Schätzungen von Experten. Europol spreche von einer „Ransomware-Attacke beispiellosen Ausmaßes“; Mikko Hyppönen von F-Secure habe diese sogar als den „größten Ransomware-Ausbruch in der Geschichte“ bezeichnet.

Schlecht gewartete, veraltete und ungesicherte, aber dennoch vernetzte Systeme als Ursache

Auch Dr. Rainer Baumgart, „CEO“ der secunet Security Networks AG, fragt: „Wie viele Weckrufe sind noch erforderlich, damit Unternehmen und Organisationen endlich reagieren und der IT-Sicherheit die erforderliche Beachtung schenken?“ Wieder einmal seien schlecht gewartete, veraltete und ungesicherte, aber dennoch vernetzte Systeme die Ursache für den Erfolg des großflächigen Angriffs. Das derzeitige IT-Sicherheitsniveau erfülle die Ansprüche nur ungenügend, obwohl man insbesondere in Deutschland über vertrauenswürdige IT-Sicherheitstechnologien verfüge.
„,WannaCry‘ ist kein hochkomplexer, gezielter Angriff, sondern eine Erpressungssoftware, die eine längst geschlossene Sicherheitslücke ausnutzt.“ Besonders beunruhigend sei, so Baumgart, dass viele der aktuell betroffenen Systeme zu Betreibern kritischer Infrastrukturen gehörten. Gerade dort sollte das Bewusstsein für IT-Sicherheit geschärft sein und entsprechende Vorkehrungen wie zum Beispiel eine sinnvolle Separierung getroffen werden – „und zwar nicht erst dann, wenn die Betreiber durch die Gesetzgebung dazu gezwungen sind“, betont der „CEO“ der secunet Security Networks AG.

Unterlasser in der Verantwortung

„Schuldzuweisungen an Softwarehersteller und Regierungen sind fehl am Platz. In einer Welt, in der Sicherheitstechnologien enorme Entwicklungsschritte machen, sollte niemand überrascht sein, dass 14 Jahre alte Systeme anfällig für Attacken sind“, meint John Gunn, „Chief Marketing Officer“ bei VASCO Data Security.
Die Verantwortung liege ganz klar bei denen, die sich auf archaische Methoden zur Sicherung der IT-Systeme verlassen – inklusive nicht gepachter Betriebssysteme und überholter Authentifikations-Methoden. Man sehe sich heute mit Attacken von bemerkenswerter Raffinesse konfrontiert, denen nur mit den neuesten Innovationen begegnet werden könne. Gunn: „Tut man dies nicht, muss man mit den Konsequenzen, wie sie aktuell viele Unternehmen erfahren, leben.“

Zurückhaltung des Wissens über Exploits nicht akzeptabel

Jeremiah Grossman, „Chief of Security Strategy“ bei SentinelOne, vertritt die Ansicht, dass Microsoft richtig gehandelt hat, und erläutert, was Unternehmen jetzt tun müssen:
„Ich begrüße es, dass Microsoft die NSA für die Zurückhaltung von Sicherheitslücken öffentlich angeklagt hat“, so Grossman. „Denn was uns das eingebracht hat, ist eine Katastrophe. Wenn wir den Angriff überstanden haben und die Hintergründe genauer beleuchtet wurden, müssen sich die betroffenen Länder und Interessenvertreter zusammensetzen und über Richtlinien und Strategien beraten.“ Denn es würden weitere Exploits zum Vorschein kommen, welche solch gefährlichen Attacken wie mit „WannaCry“ die Türe aufhielten.

Angreifer drängen auf Monetarisierung

Nach aktuellen Erkenntnisse von Bitdefender sollen die Angreifer kürzlich vier weitere Bitcoin-Wallets hinzugefügt haben – im Moment ist demnach eine Gesamtzahl von sieben Wallets mit einer Summe von 41,54 Bitcoins (entrechend 72.061 USD per 16.05.2017, 11:25 CET) im Einsatz.
Das Auftauchen der vier neuen Wallets ließen vermuten, dass die Angreifer verstärkt darauf drängten, ihre Aktivitäten zu monetarisieren – denn trotz der großen Aufregung sei die finanzielle Ausbeute bislang überschaubar. Auch könnten die vier neuen Wallets ein Zeichen dafür sein, dass weitere kriminelle Gruppen an die erste Welle andocken und diese Huckepack für sich nutzen wollten.
Die jüngste Malware-Analyse des Bitderfender-Forensik-Teams zeige, dass die kriminelle Gruppe hinter der Attacke eher aus Amateuren bestehe und es sich nicht um ein staatlich unterstütztes Team handele.

Folgende Hinweise sollen zu Bitdefenders Schlussfolgerung geführt haben:

• Die Zahlungsmethode sei für Ransomware eher unprofessionell, da sie direkt mit den Angreifern für den Entschlüsselungskey in Kontakt trete – in der Vergangenheit sei Ransomware in der Regel automatisiert gewesen.
• Die Tatsache, dass die Angreifer öffentlich zugänglichen Code verwendet hätten, um „EternalBlue“ zu bewaffnen und mit Ransomware zu bündeln, könnte darauf hindeuten, dass sie einfach Code „zusammengeflickt“ hätten. Ransomware könnte hiermit eingeschleust worden sein, um es als Mittel für „schnelles Geld“ zu verwenden – für den Fall, dass der Wurm sich erfolgreich ausbreitet.
• Die Tatsache, dass sie schnell die ursprüngliche Bedrohung gepatcht hätten, um die Domain-Validierung zu verfälschen („Kill Switch“-Validierung), aber im Zuge dieser Aktion ihr Bitcoin-Wallet überschrieben hätten, lasse auf Amateure schließen.

Weitere Informationen zum Thema:

datensicherheit.de, 12.05.2017
Wana-Ransomware: Weltweite Cyber-Attacke auf kritische Infrastrukturen

[datensicherheit.de, 15.05.2017] Angesichts der weltweiten Cyber-Angriffe mit dem Erpressungstrojaner „WannaCry“ auf private Nutzer, Unternehmen und Behörden mahnt der Verein Deutschland sicher im Netz (DsiN), die Aufklärungsarbeit über Risiken und Abwehrmöglichkeit im Internet auszubauen.

Schon einfachste Vorkehrungen ermöglichen oftmals starken Schutz

„,WannyCry‘ zeigt unsere Verwundbarkeit durch Cyber-Angriffe. Er zeigt aber auch, dass wir noch mehr in Aufklärungsarbeit von Verbrauchern und bei kleineren Unternehmen investieren müssen. Schon einfachste Vorkehrungen ermöglichen oftmals einen starken Schutz“, sagt der DsiN-Vorstandsvorsitzende, Dr. Thomas Kremer.

Weckruf für alle Akteure in Wirtschaft, Behörden und Gesellschaft

DsiN bewertet die Verwundbarkeit durch die Angriffe nach eigenen Angaben auch als Ergebnis unzureichender Schutzkompetenzen bei Anwendern in Deutschland.
Zwar steige die Zahl der Unternehmen, die sich mit DsiN für Aufklärungsprojekte einsetze. Allerdings müsse das Engagement für die unterschiedlichen Zielgruppen insgesamt verstärkt werden, so Kremer.
„WannaCry“ sei ein Weckruf für alle Akteure in Wirtschaft, Behörden und Gesellschaft, mehr Anstrengungen zu unternehmen, um sicheres Verhalten im Netz zu verbreiten.

„DsiN-Jahreskongress 2017“: Strategien und neue Wege der Aufklärungsarbeit beraten

DsiN lädt in der nächsten Woche Vertreter der Bundesregierung, Wirtschaft und Gesellschaft zum „DsiN-Jahreskongress“, um Strategien und neue Wege der Aufklärungsarbeit zu beraten. Diese Veranstaltung steht unter dem Leitthema: „Digitale Zukunft: Sicher und selbstbestimmt“.
Auch die Cyber-Sicherheitsstrategie der Bundesregierung vom November 2016 hatte beschlossen, die Aufklärungsarbeit für Zielgruppen mit DsiN die nächsten Jahre voranzutreiben und auszubauen.

Weitere Informationen zum Thema:

DsiN Deutschland sicher im Netz, 15.05.2017
WANNACRY VERBREITET SICH, NEUE SICHERHEITSUPDATES FÜR WINDOWSSYSTEME

datensicherheit.de, 13.05.2017
WannaCry: Weltweite Cyber-Attacken mit neuer Ransomware

datensicherheit.de, 12.05.2017
Wana-Ransomware: Weltweite Cyber-Attacke auf kritische Infrastrukturen

[datensicherheit.de, 13.05.2017] Cyber-Angriffe mit hoher Schadenswirkung durch die Ransomware „WannaCry“ am 12. Mai 2017 finden aktuell Eingang in die Medien. Von diesen Angriffen sollen Unternehmen und Institutionen weltweit und auch in Deutschland betroffen sein. Das Besondere an dieser Schadsoftware ist laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI), dass sie sich selber verbreiten kann. Die Verbreitung erfolge dabei ohne weiteres Zutun des Nutzers, was insbesondere in Netzwerken von Unternehmen und Organisationen zu großflächigen Systemausfällen führen könne.

Ungepatchte „Windows“-Systeme betroffen

Betroffen sind nach BSI-Angaben Systeme auf Basis von „Microsoft-Windows“. Der Mechanismus der Weiterverbreitung der Schadsoftware werde durch den Software-Patch von Microsoft vom 14. März 2017 (MS17-010) verhindert.
Das BSI rät daher zum Aufspielen dieses Patches, sofern dies nicht bereits geschehen ist.

BSI stellt Informationen und Handlungsempfehlungen bereit

Informationen und Handlungsempfehlungen zum Schutz vor Ransomware hat das BSI nach eigenen Angaben in einem Dossier zusammengefasst, das online zum Download (s.u.) bereitsteht.
Über die etablierten Kanäle von CERT-Bund, UP KRITIS und Allianz für Cyber-Sicherheit stelle das BSI Wirtschaft und Verwaltung Informationen und Handlungsempfehlungen zur Verfügung.

Angriffe zeigen Verwundbarkeit der digitalisierten Gesellschaft auf

„Als nationale Cyber-Sicherheitsbehörde beobachten wir rund um die Uhr intensiv die Lage und stimmen uns dazu auch mit betroffenen Unternehmen in Deutschland sowie mit unseren internationalen Partnern in Frankreich und Großbritannien ab“, erläutert BSI-Präsident Arne Schönbohm. Seit Bekanntwerden der Angriffswelle am Abend des 12. Mai 2017 habe das BSI-Lagezentrum hierzu eine Reihe von Telefonkonferenzen und Gesprächen geführt. „Das Krisenmanagement funktioniert“, betont Schönbohm.
Um einen möglichst vollständigen Überblick über die Lage zu bekommen, ruft er betroffene Institutionen auf, Vorfälle beim BSI zu melden.
Schönbohm: „Die aktuellen Angriffe zeigen, wie verwundbar unsere digitalisierte Gesellschaft ist. Sie sind ein erneuter Weckruf für Unternehmen, IT-Sicherheit endlich ernst zu nehmen und nachhaltige Schutzmaßnahmen zu ergreifen. Die aktuelle Schwachstelle ist seit Monaten bekannt, entsprechende Sicherheitsupdates stehen zur Verfügung. Wir raten dringend dazu, diese einzuspielen.“

Weitere Informationen zum Thema:

datensicherheit.de, 12.05.2017
Wana-Ransomware: Weltweite Cyber-Attacke auf kritische Infrastrukturen

Bundesamt für Sicherheit in der Informationstechnik, 08.07.2016
BSI legt Lagedossier zu Ransomware vor