WannaCry: Unterschied zwischen den Versionen

Aus Siwecos
Wechseln zu: Navigation, Suche
Zeile 1: Zeile 1:
 
=== WannaCry ===
 
=== WannaCry ===
  
'''WannaCry''' ist ein sog. Verschlüsselungs-Trojaner ([[Ransomware]]), der sich über eine Sicherheitslücke in Windows Dateifreigaben (SMB) verbreitet. Die Sicherheitslücke wurde durch einen [[Exploit]] namens '''EternalBlue''' bekannt, den die Crackergruppe ''Shadow Brokers'' veröffentlicht hatte und der vermutlich aus dem Arsenal der NSA stammt. Die Sicherheitslücke wurde von Microsoft bereits im März 2017 geschlossen. Viele Systeme wurden dennoch von den Administatoren nicht aktualisiert, was zu der großen Ausbreitung der Infektion führte, denn wenn ein Rechner in einem lokalen Netz mit '''WannaCry''' infiziert ist, versucht er, andere Windows-Systeme im Netzwerk zu finden, die für '''EternalBlue''' anfällig sind. Mit '''KB4012598''' bringt [https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ Microsoft einen Notfall-Patch gegen den Verschlüsselungstrojaner WannaCry] für alle Windows-Systeme, auch für jene, die regulär nicht mehr gepatcht werden.
+
'''WannaCry''' ist ein sog. Verschlüsselungs-Trojaner ([[Ransomware]]), der sich über eine Sicherheitslücke in Windows Dateifreigaben (SMB) verbreitet. Die Sicherheitslücke wurde durch die [[Exploit|Exploits]] namens '''[https://isc.sans.edu/forums/diary/ETERNALBLUE+Windows+SMBv1+Exploit+Patched/22304/ EternalBlue]''' und '''[https://isc.sans.edu/forums/diary/Detecting+SMB+Covert+Channel+Double+Pulsar/22312 DoublePulsar]''' möglich, die die Crackergruppe ''Shadow Brokers'' veröffentlicht hatten und die vermutlich aus dem Arsenal der NSA stammen.  
 +
 
 +
Die Sicherheitslücke bzgl. der Dateifreigaben (SMB) wurde von Microsoft bereits im März 2017 geschlossen. Viele Systeme wurden dennoch von den Administatoren nicht aktualisiert, was zu der großen Ausbreitung der Infektion führte, denn wenn ein Rechner in einem lokalen Netz mit '''WannaCry''' infiziert ist, versucht er, andere Windows-Systeme im Netzwerk zu finden, die für '''EternalBlue''' anfällig sind. Anschließend wird mit '''DoublePulsar''' eine [[Backdoor]] installiert. 
 +
 
 +
Mit '''KB4012598''' bringt [https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ Microsoft einen Notfall-Patch gegen den Verschlüsselungstrojaner WannaCry] für alle Windows-Systeme, auch für jene, die regulär nicht mehr gepatcht werden.
  
 
* Technische Details zu WannaCry hat [https://www.bleepingcomputer.com/news/security/wannacry-wana-decryptor-wanacrypt0r-info-and-technical-nose-dive/ Bleeping Computer in diesem Artikel zusammengefasst].  
 
* Technische Details zu WannaCry hat [https://www.bleepingcomputer.com/news/security/wannacry-wana-decryptor-wanacrypt0r-info-and-technical-nose-dive/ Bleeping Computer in diesem Artikel zusammengefasst].  

Version vom 17. Mai 2017, 09:06 Uhr

WannaCry

WannaCry ist ein sog. Verschlüsselungs-Trojaner (Ransomware), der sich über eine Sicherheitslücke in Windows Dateifreigaben (SMB) verbreitet. Die Sicherheitslücke wurde durch die Exploits namens EternalBlue und DoublePulsar möglich, die die Crackergruppe Shadow Brokers veröffentlicht hatten und die vermutlich aus dem Arsenal der NSA stammen.

Die Sicherheitslücke bzgl. der Dateifreigaben (SMB) wurde von Microsoft bereits im März 2017 geschlossen. Viele Systeme wurden dennoch von den Administatoren nicht aktualisiert, was zu der großen Ausbreitung der Infektion führte, denn wenn ein Rechner in einem lokalen Netz mit WannaCry infiziert ist, versucht er, andere Windows-Systeme im Netzwerk zu finden, die für EternalBlue anfällig sind. Anschließend wird mit DoublePulsar eine Backdoor installiert.

Mit KB4012598 bringt Microsoft einen Notfall-Patch gegen den Verschlüsselungstrojaner WannaCry für alle Windows-Systeme, auch für jene, die regulär nicht mehr gepatcht werden.


WannaCry – warum zeitnahes Updaten so wichtig ist

Die Ransomware WannaCry hat Mitte Mai 2017 weltweit viele Personen und Unternehmen kalt erwischt. Experten vermuten, dass weltweit mehrere Zehntausend Computer betroffen sind. Schätzungen zu Folge sind Computer in über 100 Ländern betroffen. Europol spricht von einer Ransomware-Attacke beispiellosen Ausmaßes. Mikko Hyppönen von F-Secure bezeichnet dies sogar als den “größten Ransomware-Ausbruch in der Geschichte“. Der Erpressungstrojaner hat dabei Windows-Nutzer im Visier und nutzt eine Sicherheitslücke aus, die bereits im Februar bekannt wurde und von Microsoft mit dem März-Update geschlossen wurde.

Wannacry2.jpg

Nach jetzigem Kenntnisstand sind nur Internetnutzer und Unternehmen betroffen, die es in den letzten acht Wochen versäumt haben, das entsprechende Update zu installieren – oder noch alte Windows-Versionen (z.B. XP, Vista) einsetzen, für die seit längerer Zeit keine weiteren Updates mehr bereitgestellt werden. Dass Microsoft sogar einen neuen Patch für Windows XP bereitstellt, lässt das Ausmaß der WannaCry-Infektionen nur erahnen.


Der Vorfall und die vielen Infektionen zeigen erneut auf, wie wichtig das regelmäßige und vor allem zeitnahe Einspielen von Sicherheitsupdates ist, jedoch auch, wie viele Nutzer noch unsichere Geräte einsetzen.

Peter Meyer, Leiter Botfrei.de: „Unternehmen sollte WannaCry als letzte Warnung dienen. Wer immer noch nicht verstanden hat, wie wichtig sichere IT-Systeme sind, der gefährdet seine unternehmerische Existenz.“

Internet-Nutzer, die bisher das Patch MS17-010 noch nicht installiert haben, sollten das umgehend nachholen.

Um sich vor ähnlichen Vorfällen in Zukunft besser zu schützen, sollte man die automatische Update-Funktion im Betriebssystem aktivieren, und zudem regelmäßig Backups anlegen. Diese helfen bei einer Ransomware-Infektion, das eigene System ohne gravierenden Datenverlust wiederherzustellen. Dabei sollten die Backup-Daten getrennt bzw. geschützt vom eigentlichen System gespeichert werden, da sich Erpressungstrojaner wie WannaCry auch auf weiteren Geräten im Netzwerk verbreiten und diese ebenfalls verschlüsseln. Neben Backups und Updates sollten Unternehmen zudem auf ein professionelles Sicherheitspaket setzen, aber auch weiterhin und regelmäßig die eigenen Mitarbeiter gegenüber solchen Bedrohungen sensibilisieren. Auch im Fall von WannaCry waren E-Mails mit schädlichem Anhang der Auslöser vieler Infektionen.


Betroffene Unternehmen, Behörden und Institutionen sollten sich zudem an das BSI wenden und davon absehen, ein Lösegeld an die Erpresser zu zahlen, denn es ist aktuell nicht bekannt, dass das Zahlen des Lösegeld tatsächlich zur Entschlüsselung der eigenen Daten führt.

Nur durch einen Zufall wurde inzwischen die weitere Verbreitung von WannaCry-Infektionen gestoppt. Für eine Entwarnung ist es jedoch noch zu früh, da Cyberkriminelle ohne weiteres den Schadcode modifizieren könnten und so jederzeit eine neue Infektionswelle droht.


Update 16.05.2017: Laut BleepingComputer scheint es inzwischen eine neuere Version von WannaCry zu geben, die den durch Zufall vom MalwareHunterTeam entdeckten KillSwitch, durch welche die Verbreitung zunächst gestoppt werden konnte, nicht mehr enthält. Die Infektionswelle wird also weiter um sich greifen.