WannaCry 642045220 700

Der Kryptotrojaner WannaCry verschafft sich weltweit Zugang zu Computern mit Microsoft-Windows-Betriebssystemen und verschlüsselt Dateien. Um wieder an die Daten zu kommen, sind Lösegeldzahlungen in der Kryptowährung Bitcoin fällig. Das gefährliche Potenzial von WannaCry: Seine unglaublich schnelle Fortpflanzungsfähigkeit. 

Innerhalb weniger Stunden befällt die Ransomware ganze Unternehmen über den gesamten Globus hinweg.

Zwei Jahre später stellt sich die Frage, ob Unternehmen aus dem Angriff gelernt und entsprechende Schutzmaßnahmen umgesetzt haben. Da immer wieder neue Bedrohungen mit ähnlichen Charakteristiken für Aufregung sorgen, kann es schließlich jederzeit wieder zu einem Angriff vergleichbaren Ausmaßes kommen.

Die Gefahr ist noch nicht gebannt

Im Hinblick auf WannaCry Mark 2 sind wir noch lange nicht über den Berg. Allein im letzten Jahr wies Windows 32 Schwachstellen auf, die den von WannaCry angegriffenen stark ähnelten. Theoretisch könnte jede nicht beseitigte Schwachstelle zum Einfallstor für einen weiteren globalen Angriff werden. Berichte über tendenziell rückläufige Ransomware-Angriffe sind tückisch und können CTOs in falscher Sicherheit wiegen. Einige Unternehmen, die das Thema Cyber Security bisher eher stiefmütterlich behandelt haben, mussten diese Lektion erst kürzlich auf die härteste Weise lernen. Die Ransomware „Sodinokibi“, die eine Oracle Weblogic Zero-Day-Schwachstelle ausgenutzt hat, verursachte erst kürzlich teils erhebliche Schäden. Mit der Implementierung entsprechender Werkzeuge hätten diese angegriffenen Schwachstellen identifiziert und – noch wichtiger – priorisiert und letztlich eliminiert werden können.

Immer wieder neue Schwachstellen: BlueKeep gefährdet vor allem OT-Umgebungen

Am 14. Mai veröffentlichte Microsoft die als kritisch eingestufte Schwachstelle BlueKeep. Diese ist besonders gefährlich, weil sie keine Benutzerinteraktion erfordert. Das heißt, jeder anfällige Windows Server der Versionen Windows 7, Windows Server 2008 R2, Windows XP und Windows Server 2003 ist gefährdet, sobald er mit dem Internet verbunden ist. Diese älteren Versionen von Windows sind vor allem in OT-Umgebungen noch weit verbreitet. Ein nicht authentifizierter Remote-Angreifer kann das Netzwerk hacken, indem er sich per RDP mit einem Windows Server verbindet und einen beliebigen Code auf diesem ausführt. Weil eben keine Benutzerinteraktion nötig ist, kann das im Verborgenen passieren. Bisher wurde BlueKeep glücklicherweise bisher weder automatisiert noch gezielt ausgenutzt.

Das Tückische ist die Fortpflanzungsfähigkeit

Das Gefährliche an BlueKeep ist, dass über diese Schwachstelle ins OT-Netzwerk eingedrungen werden kann und sich die Schadsoftware dann sehr schnell in der gesamten Umgebung fortpflanzt. Aus der Erfahrung mit WannaCry wissen wir, dass derartige Szenarien, sollten sie auftreten, einen regelrechten BlueKeep-Tsunami auslösen können.

Schreckensszenarien vorbeugen: Ein Netzwerkmodell als Basis für Cyber Security

Während einige Organisationen die epidemieartige Verbreitung von WannaCry ernst genommen und Maßnahmen ergriffen haben, gibt es noch immer Unternehmen, die leichtfertig mit der Bedrohung umgehen. Zunächst ist es essenziell, sich einen Gesamtüberblick über die komplette Infrastruktur zu verschaffen. Am besten gelingt dies in Form eines visualisierten Netzwerkmodells, in dem Schwachstellen quasi in Echtzeit identifiziert und im Kontext priorisiert werden. So können Maßnahmen in die Wege geleitet werden, um diese Schwachstellen abzuschwächen oder ganz zu beseitigen. Ein weiterer Vorteil ist die Möglichkeit, Angriffe von außen und innen in diesem Modell simulieren zu können, sodass man eine mögliche Ausbreitung von Malware und die damit verknüpften Auswirkungen realistisch abschätzen kann.

Ohne Sichtbarkeit wird im Dunkeln gestochert

Nur auf der Basis eines Modells, das sowohl IT als auch OT und cloudbasierte Netzwerke beinhaltet, können Maßnahmen definiert werden, um die kritischsten Schwachstellen zu identifizieren, entsprechend ihres tatsächlichen Risikos im Kontext der Unternehmensinfrastruktur zu priorisieren und dementsprechend auch als erste zu beseitigen. WannaCry hat uns gelehrt, dass, obwohl es sich dabei um einen sehr publikumswirksamen Exploit mit einem verfügbaren Patch handelte, trotzdem noch eine große Anzahl von Unternehmen betroffen war. Der einfache Grund hierfür war, dass in diesen Organisationen die erforderlichen Kontextinformationen nicht ins Schwachstellenmanagement integriert wurden. Ohne diese essenziellen Zusammenhänge sind die heutzutage zahllosen Schwachstellen nicht sinnvoll zu erfassen und zu beseitigen – man steht sprichwörtlich im Dunkeln und muss hoffen, dass man selbst von einem Angriff verschont bleibt. Im Nachhinein wissen wir, dass diese Strategie nicht aufgeht und effektivere Methoden erforderlich sind.

www.skyboxsecurity.com


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Bank

Hacking und Malware als Hauptursachen der Datenschutzverletzungen im Finanzwesen

Cloud-Security-Anbieter Bitglass hat seinen aktuellen Bericht zu Datenschutzverletzungen im Finanzwesen 2019 veröffentlicht. Jedes Jahr analysiert Bitglass die neuesten Trends, größten Verstöße und gravierendsten Bedrohungen bei…
Smart Home Security

Tipps für mehr Sicherheit im Smart Home

Rund neun Millionen Haushalte in Deutschland sind nach Schätzungen des Statista Digital Market Outlooks bereits „smart“, das heißt vernetzt, zentral steuer- und programmierbar. Bis zum Jahr 2023 soll die Zahl der Smart Homes auf 13,5 Millionen steigen.
Malware

Top Malware für Januar 2020: Corona-Virus als Spam

Check Point Research (NASDAQ: CHKP), hat seinen Global Threat Index für Januar 2020 veröffentlicht. Die Experten berichten, dass Emotet bereits im vierten Monat in Folge die führende Malware ist und sich derzeit mit der Hilfe einer Spam-Kampagne zum…
Herzen

Saisonale Betrügereien: Ausgabe Valentinstag

Romantische, aber auch das Vertrauen brechende Betrügereien verursachen sowohl emotionale als auch finanzielle Schmerzen. Ein Statement von Jelle Wieringa, Security Awareness Advocate bei KnowBe4.
Tb W250 H150 Crop Int 1f22abfe6e08d1f054b6663556039815

Phishing und Malware: Coronavirus auch per E-Mail gefährlich

Täglich tauchen Meldungen zu neuen Infektionsfällen mit dem grassierenden Coronavirus auf. Die Bilder von abgeriegelten Städten und Menschen in Quarantäne zeichnen ein Schreckensszenario. Doch nicht nur in der analogen Welt ist das Virus ein Risiko: Die…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!