WannaCry – über alte und neue Würmer

Am Morgen des 12. Mai, einem Freitag, meldeten mehrere Quellen in Spanien den Ausbruch einer Ransomware-Variante, die inzwischen als „WannaCry“ identifiziert wurde.

Sofort nach dem Eingang dieser Informationen begann McAfee, die Ransomware-Exemplare zu analysieren, Hinweise zur Beseitigung auszuarbeiten und Erkennungs-Updates für unsere Kunden zu entwickeln.

Am Freitagnachmittag war das McAfee Global Threat Intelligence-System bereits aktualisiert und in der Lage, alle bekannten WannaCry-Varianten zu erkennen. Zudem hatten alle Kunden entsprechende DAT-Signaturaktualisierungen erhalten.

McAfee bittet dringend alle seine Kunden, diese DAT-Updates durchzuführen und zusätzlich sicherzustellen, dass auch für alle anderen Software-Lösungen alle verfügbaren Sicherheits-Updates installiert sind. Weitere Informationen finden Sie in diesem Artikel der Wissensdatenbank.

Bei den in dieser Woche beobachteten Angriffen mit der WannaCry-Ransomware wurden erstmals Wurm- und Ransomware-Taktiken kombiniert. Der mögliche Missbrauch des Eternal Blue-Exploits war seit einigen Wochen bekannt. Da der Patch für die Schwachstelle MS-17-010 des Windows-Betriebssystems auf Tausenden Systemen nicht implementiert war, konnte WannaCry innerhalb eines Tages Hunderttausende Computer in allen Branchen auf der ganzen Welt infizieren. Ebenso wie bei vielen anderen Ransomware-Kampagnen waren diese Angriffe auch dadurch so erfolgreich, weil keine oder nur eine geringe Benutzerbeteiligung erforderlich war.

Eine Mischung aus Bewährtem – und der Mensch bleibt außen vor

Der Erfolg von WannaCry lässt sich darauf zurückführen, dass ein Angriff durch die Schwachstellen, die auf vielen Systemen im Netzwerk bestehen, verstärkt werden konnte. Die Folgen des Angriffs waren daher erheblich größer als bei herkömmlichen Ransomware-Angriffen.

Fast alle Ransomware-Varianten, die derzeit im Umlauf sind, greifen einzelne Benutzer an, häufig per Spearphishing: Die Opfer erhalten eine E-Mail, die von einem scheinbar legitimen Absender kommt und den Empfänger dazu verleitet, auf einen Link zu klicken oder einen Anhang zu öffnen, der Schadcode herunterlädt bzw. auf dem System des Opfers ausführt. Dabei ist aber stets nur ein Computer des Opfers betroffen.

Erinnern Sie sich an die späten 1990er und frühen 2000er? Damals verbreiteten sich Würmer wie Code Red, NIMDA und SQL Slammer, die die Malware ohne Benutzerbeteiligung auf dem System aktivieren konnten, rasend schnell. Die WannaCry-Angriffe gingen sehr ähnlich vor.

Wir versuchen immer noch zu ermitteln, wie das „Patient Null“-System infiziert werden konnte. In jedem Fall konnte sich diese Erstinfektion auf alle Systeme im Netzwerk ausbreiten, auf denen der Patch für die Schwachstelle MS-17-010 nicht installiert war.

Die Malware hatte dabei gar nicht das Ziel, Daten zu stehlen oder andere Systeme zu beschädigen, sondern führte einen klassischen Ransomware-Angriff durch – mit verschlüsselten Dateien und einer Lösegeldforderung. Bei diesem Angriff wurden im Grunde zwei Techniken kombiniert, um eine besonders große Wirkung zu erzielen.

Das WannaCry-Problem: Wenn auf Unternehmenssystemen die Microsoft-Schwachstelle bestand, konnte sich die Ransomware nach der Infektion eines Systems sehr schnell ausbreiten und viele weitere Systeme, die ebenfalls noch nicht durch den von Microsoft im März bereitgestellten Patch geschützt waren, befallen.

Typischerweise beobachten wir, dass Cyber-Kriminelle gern Techniken kopieren, die sich bereits als effektiv erwiesen haben. Da der WannaCry-Angriff offensichtlich äußerst effektiv war, müssen wir damit rechnen, dass weitere Angreifer nach anderen Gelegenheiten suchen. Dies wird dadurch erschwert, dass dazu eine Software-Schwachstelle nötig ist, die Wurmverhalten ermöglicht.

Das Besondere an diesem Angriff ist die Tatsache, dass Microsoft bereits einen Patch für diese kritische Schwachstelle veröffentlicht hatte und ein aktives Exploit in den Umlauf gelangte. Beide Faktoren boten den Angreifern Gelegenheit und Vorlage, mit der sie eine Ransomware mit Wurmfunktionen erstellen konnten.

Offen für die Ausnutzung

In den späten 1990er Jahren wurde typischerweise verschiedenste Software auf Systemen ausgeführt, die teilweise nicht genutzt wurde. So nutzte zum Beispiel ein Wurm in den 1990er Jahren eine Schwachstelle in einem Druck-Server aus, der standardmäßig in allen Servern enthalten war – auch in Systemen ohne angeschlossenen Drucker. Auf diese Weise konnte sich der Wurm auf allen Servern im Netzwerk über diesen Drucker-Port verbinden und ein System nach dem anderen infizieren.

Diese Taktik wird seither typischerweise durch das Prinzip der minimalen Gewährung von Berechtigungen ausgehebelt. Dabei wird sichergestellt, dass eine Anwendung bzw. ein Dienst nur die Aktionen auf dem System oder im Netzwerk ausführen darf, die für die jeweiligen Aufgaben oder Funktionen erforderlich sind. Durch dieses Prinzip konnten die Erfolgschancen herkömmlicher Würmer reduziert werden, doch ungepatchte Schwachstellen imitieren dieses „offene“ Element, sodass es ausgenutzt werden kann. Das gilt ganz besonders für Schwachstellen, die Dateiübertragungen oder -freigaben für andere Systeme ermöglichen.

Die Koordination von Kampagnen wie WannaCry wird durch all die ungepatchten Schwachstellen, das veröffentlichte Exploit sowie die zahlreichen bewährten Ransomware-Technologien und -Taktiken, die Angreifern zur Verfügung stehen, deutlich vereinfacht.

Patchen oder nicht Patchen?

WannaCry sollte IT-Verantwortliche an die Dringlichkeit schneller Patch-Bereitstellungen erinnern. Einer der Gründe für das Zögern von IT-Verantwortlichen beim Patchen oder Durchführen interner Qualitätsprüfungen ist die Frage, ob Probleme durch Software-Inkompatibilitäten auftreten. Meiner Meinung nach sollte die Frage anders formuliert werden: Wenn ein Patch veröffentlicht wird, besteht immer ein Risiko durch das Anwenden des Patches und eines durch das Nichtanwenden. IT-Verantwortliche müssen die jeweiligen Folgen für ihr Unternehmen verstehen und einschätzen können.

Durch die Verzögerung einer Patch-Bereitstellung können sie das Risiko einer Anwendungsinkompatibilität minimieren. Gleichzeitig erhöhen sie jedoch das Risiko einer Kompromittierung durch eine Bedrohung, die genau diese Schwachstelle ausnutzt. IT-Verantwortliche müssen für jeden Patch verstehen, wie hoch und schwerwiegend diese Risiken sind und dann entscheiden, wie sie das Risiko für das Unternehmen minimieren können.

Ereignisse wie WannaCry haben das Potenzial, diese Denkweise zu ändern. Eines der Probleme, die wir in Bezug auf die Sicherheit häufig beobachten, ist der Glaube, dass nicht erfolgte Angriffe mit einer funktionierenden Abwehr gleichzusetzen sind. Unternehmen, die heute eher entspannt an die Anwendung von Patches herangehen, haben vielleicht einfach noch keine Angriffe erlebt, die genau diese Schwachstellen ausnutzen. Das könnte die Einstellung verstärken, dass das Aufschieben von Patch-Bereitstellungen in Ordnung ist.

Dieser Vorfall sollte jedoch Unternehmen daran erinnern, dass sie einen strikten Patch-Bereitstellungsplan benötigen, um die Schwachstellen in ihrer Umgebung zu reduzieren.

Warum wurden Krankenhäuser angegriffen?

Krankenhäuser fallen in eine Kategorie, die ich als „weiche Ziele“ bezeichne, d. h. sie konzentrieren sich meist in erster Linie auf die Patientenfürsorge und weniger auf bestmögliche Mitarbeiter für Cyber-Abwehr sowie bestmögliche Technologien zum Schutz vor Cyber-Angriffen.

Das liegt daran, dass Angriffe auf Krankenhäuser für Cyber-Kriminelle in der Vergangenheit als wenig reizvoll galten. Sie konnten vielleicht Patientenakten oder andere Daten stehlen, doch der Gesamtwert der Daten in einem Krankenhaus liegt normalerweise unter dem Wert der massenhaft bei anderen Branchen (z. B. Finanzdienstleistern) gestohlenen Daten.

Ransomware hat dafür gesorgt, dass es sich für Kriminelle lohnt, beliebige Unternehmen anzugreifen. Da es den Kriminellen ausschließlich um die Lösegeldforderung geht, ist es erheblich einfacher, ein Unternehmen mit schwacher Cyber-Abwehr als eines mit starken Schutzmaßnahmen anzugreifen. Deshalb wurden im vergangenen Jahr Krankenhäuser, Schulen, städtische Polizeibehörden und Universitäten Opfer von Ransomware-Angriffen. Während wir derzeit auch einige Angriffe auf „härtere Ziele“ beobachten, bieten sich Kriminellen zahlreiche Gelegenheiten, ihre Attacken auf diese weichen Ziele fortzusetzen.

Wie geht es weiter?

Obwohl dieser Angriff neu ist und einige Überlegungen auslösen sollte, dürfen wir Folgendes nicht vergessen: Wenn bekanntermaßen eine Schwachstelle im Umlauf ist und ein Exploit veröffentlicht wurde, das von Cyber-Kriminellen ausgenutzt werden könnte, müssen wir immer mit derartigen Angriffen rechnen und darauf vorbereitet sein, dass schon bald zahlreiche Nachahmerangriffe folgen werden.

Leave a Comment

5 + four =