Schutzmaßnahmen gegen WanaCrypt0r-Ransomware

Wie ist ein solch massiver Angriff möglich?

Die Hacker-Gruppe Shadow Brokers hat eine Vielzahl von Tools öffentlich zugänglich gemacht, so jeder in der Lage ist, eine Datei herunterzuladen, um Hacking-Aktivitäten auszuführen. Das Angebot umfasst kompilierte Binärdateien für Exploits von Schwachstellen in verschiedenen Windows-Betriebssystemen wie Windows 8 und Windows 2012. Dabei soll es sich um Hacking-Tools handeln, die zuvor bereits von der NSA verwendet wurden.

Eine der Windows-Schwachstellen im Cache wird als EternalBlue bezeichnet. Dabei nutzen die Angreifer einen Remote-Code-Execution-Bug in Windows 7 und Windows 2008 mithilfe von Server Message Block (SMB)- und NetBT-Protokollen aus. Die genutzte Schwachstelle ermöglicht die ferngesteuerte Ausführung von Programmcode, wenn ein Angreifer speziell erstellte Nachrichten an einen Microsoft Server Message Block 1.0 (SMBv1)-Server sendet. Ein genauerer Blick auf den Ransomware-Code zeigt Indizien, dass dieser den Exploit EternalBlue nutzt.

Wie dringt die Malware ein?

Für den Weg der Malware in die betroffenen Netzwerke gibt es verschiedene Möglichkeiten: Es könnte ein Phishing-Angriff, ein Watering-Hole-Angriff oder eine bereits infizierte Maschine sein, die Teil eines Botnets ist, das von den Angreifern gekauft oder gemietet wurde, um die Ransomware zu verbreiten. Dazu müssen die Angreifer nur den Computer einer Person in einem Netzwerk über einen Phishing-Angriff infizieren. Dann können sie die Schwachstelle ausnutzen (Exploit), um die Malware über das Netzwerk auf andere Windows-Computer zu verbreiten.

Ein Benutzer kann sich somit nicht immer dadurch schützen, indem er vorsichtig ist und keine Phishing-E-Mail aus einer unbekannten Quelle oder kein verdächtiges Dokument öffnet.

Sehr schnelle, globale Verbreitung

Angesichts der Geschwindigkeit und des Ausmaßes der Angriffe, scheint es wahrscheinlich, dass sich die Angreifer über einen Windows-PC Zugang verschaffen und sich dann mittels einer Art Scan/Exploit-Playback seitlich im Netzwerk bewegen. Ransomware wie diese erfordert keine externe Command-and-Control-Reaktion. Daher sind herkömmliche Schutzlösungen am Netzwerkperimeter nutzlos, weil sie nach genau solcher Kommunikation zwischen Ransomware und Angreifern suchen.

Tausende Netzwerke zu infizieren, ist nicht schwer für eine nicht gepatchte Schwachstelle. Hier findet ein Wettrüsten statt zwischen den Angreifern, die Windows-Schwachstellen ausnutzen, und Unternehmen, die alle von Microsoft herausgegebenen Patches implementieren müssen. Für diese Schwachstelle hat Microsoft ebenfalls ein Patch zur Verfügung gestellt.

Wie Unternehmen zurückschlagen können

Der erste Schritt jeder Verteidigung ist eine aktive Patching-Strategie, die alle bekannten ausnutzbaren Schwachstellen abdeckt. Dies hätte auch die Tür geschlossen für die Windows-Schwachstellen, die von Shadow Brokers publik gemacht wurden.

Für den Fall, dass eine Schwachstelle unbekannt ist oder nicht genügend Zeit zum Patch zur Verfügung steht, benötigen Unternehmen eine Methode zur schnellen Erkennung und Reaktion. Diese sollte die Überwachung des internen Verkehrs auf Verhaltensmuster des Angreifers, wie Aufklärung, seitliche Bewegung und Dateiverschlüsselung, umfassen.

„Nur zu versuchen, spezifische Ransomware-Varianten im Netzwerkverkehr oder in ausführbaren Dateien zu erkennen, reicht nicht aus“, so Gérard Bauer, Vice President EMEA bei Vectra Networks. „Um künftige Angriffe zu verhindern, müssen wir uns hin zu einem Modell der Erkennung von Verhalten bewegen, anstatt das spezifische Tool oder die Malware zu identifizieren. Die Verhaltenserkennung ist viel effektiver, erfordert aber eine eingehende Analyse des Netzwerkverkehrs.“

Angesichts der Fortschritte in der künstlichen Intelligenz, die die Fähigkeiten von Sicherheitsteams erweitert, ist es absehbar, dass die Sicherheitsbranche immer mehr dazu übergehen wird, das verdächtige Verhalten von Angreifern in Echtzeit zu identifizieren und zu stoppen.