Cyberangriff WannaCry verschlüsselt über 200.000 Rechner


Ransomware zählt weltweit zu den am schnellsten zunehmenden Malware-Arten. Unternehmen jeder Größenordnung können Ziel eines Angriffs werden, bei dem Cyberkriminelle die Unternehmensdaten verschlüsseln und erst gegen ein Lösegeld wieder freigeben. Jüngstes Beispiel ist der am 12. Mai. 2017 gestartete Cyberangriff WannaCry.

WannaCry – was ist das?

Die WannaCry Attacke der letzten Woche hat in weniger als einem Tag mindestens 200.000 Rechnern auf der ganzen Welt verschlüsselt. Unter den Opfern sind neben zahlreichen großen Firmen, wie die Deutsche Bahn und die spanische O2-Mutter Teléfonica, auch das russische Innenministerium. Wie viele private Rechner befallen wurden, ist noch nicht abzusehen. Doch was genau ist WannaCry?

Die Attacke besteht aus zwei Teilen:

  • Exploit – mit dem Ziel der Ausbreitung und Infektion
  • Kryptotrojaner, der nach der Infizierung auf einen Computer heruntergeladen wird

Die Mehrheit der Kryptotrojaner infizieren Systeme, indem der Benutzer auf einen verdächtigen Link klickt oder einen infizierten Dateianhang aus einer E-Mail herunterlädt. Das besondere an WannaCry ist, dass sich ein System damit infizieren kann, ohne dass dem Benutzer dafür ein Fehler unterlaufen muss.

Die Entwickler von WannaCry haben hierfür den Windows-Exploit, der als EternalBlue bekannt ist, genutzt. Er ermöglichte es den Tätern Fernzugriff auf die Systeme zu erhalten und den Kryptotrojaner zu installieren. Microsoft hatte diese Sicherheitsanfälligkeit im Update MS17-010 vom 14. März 2017 gepatcht.

WannaCry versucht sich nach dem Infizieren eines Computers über das lokale Netzwerk auf andere Computer zu verbreiten, ähnlich einem Computerwurm. Der Kryptotrojaner scannt andere Computer nach derselben Sicherheitsanfälligkeit, greift diese gegebenenfalls an und verschlüsselt die Dateien darauf. Mit der Infektion eines einzelnen Computers kann so auch das gesamte lokale Netzwerk infiziert und alle sich im Netzwerk befindlichen Computer verschlüsselt werden. Dies stellt besonders für große Unternehmen eine Gefahr dar, denn je mehr Computer im Netzwerk, desto größer ist der gesamte Schaden.

WannaCry verbreitet Nachrichten, die Benutzer dazu anweisen eine bestimme Menge an Geld, in Form von Bitcoins zu überweisen, um ihre Daten „freizukaufen“. Es empfiehlt sich dieser Aufforderung nicht nachzukommen, da es keine Garantie dafür gibt, dass Ihre Daten wirklich wieder entschlüsselt werden.

Derzeit gibt es noch keine Möglichkeit die betroffenen Dateien, die durch WannaCry verschlüsselt wurden, wieder zu entschlüsseln.

Um weitere Infizierungen mit einer solchen oder ähnlichen Schadsoftware zu vermeiden, ist der Einsatz einer umfassenden Sicherheitssoftware notwendig. Mit Kaspersky und Sophos haben wir zwei Hersteller im Portfolio, die Ihnen den Schutz bieten können, den Sie benötigen.

Kaspersky – mehr als nur Virenschutz


Kaspersky LogoBereits unser Blogbeitrag aus dem März zeigte, dass Kaspersky für mehr als nur Virenschutz steht. Der Einsatz des Kaspersky Systems Management kann dafür sorgen, dass notwendige Patches rechtzeitig installiert werden. Die Nutzung von bekannten und gelösten Exploits, wie im Fall von WannaCry wäre so nicht möglich. Auch bereits die Erkennung von Software- und Betriebssystemschwachstellen als potentielle Gefahrenquelle kann über das Systems Management ausgeführt werden. Die Hard- und Softwareüberprüfung vergleicht die Ergebnisse verschiedener Datenbanken zu den Schwachstellen. Der Administrator kann nun selbst priorisieren, welche Schwachstelle sofortige Aufmerksamkeit benötigt.

Das kostenlose Anti-Ransomware Tool für Business von Kaspersky lässt sich zusätzlich zu bereits bestehenden Sicherheitslösungen einsetzen, da es parallel zu fast jeder Security-Software läuft. Es muss keine weitere Kaspersky Software gekauft oder installiert werden, um es zu nutzen.

Weitere Informationen zum Schutz vor Ransomware finden Sie auf der Projektseite zu „NoMoreRansom„, die in diesem Jahr von der niederländischen Polizei, Europol, Intel Security und Kaspersky Lab ins Leben gerufen wurde.

Sophos – Wirksamer Schutz vor Ransomware


Logo SophosIntercept X von Sophos kann als zweiter Scanner eingesetzt werden. Es stoppt Ransomware bereits bevor diese Systeme schädigen konnte und blockiert Zero-Day-Exploits mit signaturloser Threat- und Exploiterkennung. Intercept X wird als Endpoint Security der nächsten Generation gesehen. Damit setzt Sophos auf neue Technologien, die sich mit aktuellen und kommenden Bedrohungslagen auseinandersetzen. Auch wenn vertrauenswürdige Dateien oder Prozesse manipuliert oder zweckentfremdet wurden, erkennt Intercept X die Gefahr. Betroffene Elemente werden in ihren Ursprungszustand zurückgesetzt, ohne dass dafür ein Eingreifen der IT-Abteilung nötig ist. Die Lösung arbeitet auf Dateisystemebene und überwacht Remote-Computer und lokale Prozesse, die versuchen Dokumente oder Dateien zu manipulieren.

 In Kombination mit Sophos Central bietet Intercept X die Möglichkeit der RootCauseAnalysis, einer Ursachenforschung woher die Malware kam. Denn es ist nicht ausreichend, Malware nur zu beseitigen. Um sich umfassend vor erneuten Angriffen abzusichern, ist es nötig, einen Überblick über die Ursachen der Malware-Attacke und ihren angerichteten Schaden zu kennen. Die Ursachenanalyse zeigt alle Ereignisse auf, die zur Erkennung des Angriffs geführt haben und benennt die Dateien, Prozesse und Registry-Schlüssel, die mit der Malware in Kontakt gekommen sind.

Sophos bietet in einem Whitepaper zudem einige Tipps, Tricks und Empfehlungen zur Soforthilfe gegen Ransomware und Krypto-Trojaner.

SEP – der starke Rückhalt, wenn doch mal etwas passiert


sep-logoRegelmäßige Backups sind die einzige Möglichkeit sich vor einem größtmöglichen Schaden durch Krypto-Trojaner abzusichern. Ihr Rhythmus richtet sich nach der Wichtigkeit der Dateien, essenzielle Dateien sollten stündlich bzw. täglich gesichert werden, andere wichtigen Dateien ein bis dreimal pro Woche. Systempartitionen sollten ein bis zweimal im Monat gesichert werden.

Mit SEP sesam findet sich in unserem Portfolio eine Backup, Restore- und Disaster-Recovery-Lösung für den unternehmensweiten Einsatz in jeder IT-Umgebung. Die Software lässt sich in bestehende Systeme von Unternehmen jeder Größenordnung integrieren. SEP sesam sichert alle gängigen Betriebssysteme, Anwendungen, Datenbanken und Dateien.

Die Backup-Lösung bietet durch eine Abgrenzung vom „Live“-System und der dedizierten Speicherung der Daten einen großen Vorteil gegenüber z.B. gespiegelten Storage-Systemen. Da mehrere Versionen der Daten in der Backuphistorie aufbewahrt werden, können Daten eines bestimmten Zeitpunkts in der Vergangenheit wiederhergestellt werden. So ist es möglich die Daten vor einer Infizierung durch Ransomware wiederherzustellen.

Weitere Informationen zu SEP sesam finden Sie auf der dazugehörigen Produktseite.

Mit uns ist Ihnen nicht zum Weinen zumute

Durch einen sicheren Umgang der IT z.B. mit dem Einspielen der Sicherheitspatches der Hersteller und dem Einsatz der präventiven Lösungen von Sophos und Kaspersky kann ein hoher Grad an Schutz erreicht werden. Dennoch sollte man sich bewusst machen, dass es keinen 100%igen Schutz gibt. Ein gutes Backup ist daher immer sinnvoll, nicht nur im Fall einer Bedrohung durch Ransomware, sondern auch zum Schutz vor Datenverlust anderer Art.

Wir beraten Sie hier gerne und entwickeln gemeinsam mit Ihnen das passende Security-Konzept.


Ihr

Sebastian Scheuring, Vorstand der bitbone AGSebastian Scheuring
Vorstand
T: +49 931 250993-10
M:
Connect auf LinkedIn
Connect auf Xing


Noch Fragen?

Wir helfen Ihnen gerne zu allen Fragen rund um die Themen Ransomware und Security-Konzept weiter:

    *

    *

    *

    *

    *

    Kontaktieren Sie mich bitte

    Ich bin damit einverstanden, dass meine Daten von der bitbone AG elektronisch gespeichert und verarbeitet werden, um mit mir in Kontakt zu treten.

    captcha
    Bitte tragen Sie hier die Zeichen aus dem Bild ein:

    ← zurück