Massiver WannaCry/Wcry Ransomware-Angriff trifft mehrere Länder

Originalartikel von Trend Micro

Dieses Jahr förderte zwei verschiedene Sicherheitsrisiken zutage: CVE-‎2017-0144, eine Sicherheitslücke im SMB-Server, die für eine Remote Code-Ausführung missbraucht werden konnte und im März geschlossen wurde, die andere ist WannaCry/Wcry, eine relativ neue Ransomware-Familie, die Ende April entdeckt wurde. Wurde bislang WannaCry über Dropbox-URLs, die in Mails eingebettet waren verteilt, so verbreiten sich die neuen Varianten jetzt über die vorher entdeckte SMB-Sicherheitslücke. Dies führte zu einem der schwersten Ransomware-Angriffe, der Nutzer weltweit traf.

Die Lösegeldforderung belief sich auf 300 $, die in Bitcoin zu zahlen sind. Dies ist weniger als die Summe, die in früheren Angriffen gefordert wurde. Neben den ursprünglichen Angriffen in Großbritannien, waren letztendlich auch viele Länder massiv betroffen.

Trend Micro erkennt die Varianten in diesem Angriff als RANSOM_WANA.A und RANSOM_WCRY.I. Kunden sind gegen die Bedrohungen bereits geschützt über Predictive Machine Learning und andere Schutzfunktionen in Trend Micro XGen™ Security.

[ACHTUNG: Identifizieren Sie die Lücken in der vorhandenen Endpoint Schutzlösung mithilfe des kostenlosen Trend Micro Machine Learning Assessment Tool.]

Infektionsvektor

Die Sicherheitslücke, die in diesem Angriff ausgenutzt wurde (Codename EternalBlue), gehörte zu denen, die die Shadow Brokers Gruppe mutmaßlich von der National Security Agency (NSA) gestohlen und öffentlich gemacht hatte. Die Sicherheitslücke wurde dazu ausgenutzt, um eine Datei auf einem angreifbaren System abzulegen. Diese Datei wurde dann als Service ausgeführt und verschlüsselte Dateien mit der .WNCRY-Extension. (Eine separate Komponentendatei für das Anzeigen der Lösungsforderung wurde ebenfalls abgelegt.) Es geht um Dateien mit bis zu 166 verschiedenen Extensions, einschließlich solcher, die normalerweise Microsoft Office, Datenbanken, Dateiarchiven, Multimediadateien und verschiedenen Programmiersprachen verwenden.


Bild 1. Infektionsdiagramm


Bild 2. Lösegeldforderung

Feedback aus dem Smart Protection Network zeigt, dass neben Großbritannien Taiwan, Chile und Japan ebenfalls massiv betroffen waren, des Weiteren auch Indien und die Vereinigten Staaten.

Die Auswirkungen der WannaCry-Ransomware sind auch deswegen so umfassend, weil sie sich selbst im Netzwerk ausbreitet und alle verbundenen Systeme ohne Nutzerinteraktion infiziert. Diese Fähigkeiten erinnern an Ransomware-Familien wie SAMSAM, HDDCryptor und einige Varianten von Cerber – die alle Systeme und Server infizieren können, die ans Netzwerk angeschlossen sind.

Die Bedrohung nutzt für die Verbreitung auf andere Systeme die abgelegte Datei, die als Service ausgeführt wird. Der Service nutzt den Namen „Microsoft Security Center (2.0)“. Er scannt nach weiteren SMB-Freigaben im Netzwerk und nutzt die EternalBlue-Sicherheitslücke für die Verbreitung.

Bild 3. Hinzugefügter Service

Wie bereits erwähnt, hat Microsoft die SMBv1-Sicherheitslücke bereits im März geschlossen. Und davor drängte Microsoft im September 2016 die Nutzer dazu, von SMBv1 zu migrieren, da der Server aus den frühen neunziger Jahren stammt. Das US-CERT hatte ähnlich dringliche Empfehlungen ausgesprochen. Unternehmen, die diesen Empfehlungen gefolgt waren, wurden vom Angriff nicht getroffen.

Gegenmaßnahmen

WannaCry unterstreicht alle schädlichen Auswirkungen von Ransomware in der Praxis: beschädigte Systeme, unterbrochener Betrieb, Rufschädigung und finanzielle Verluste durch die Unterbrechung der Geschäftstätigkeit – nicht zuletzt die Kosten für die Reaktion und das Aufräumen nach dem Vorfall. Eine Infografik zeigt übersichtlich die Möglichkeiten einer mehrschichtigen Verteidigung gegen Ransomware auf.

Unternehmen können jedoch mithilfe von Best Practices und Lösungen ihre Systeme vor Bedrohungen wie WannaCry schützen:

  • Die Ransomware nutzt eine Sicherheitslücke im SMB-Server aus. Patching stellt eine kritische Aktion dar, wenn es um die Verteidigung vor Angriffen geht, die Sicherheitslücken ausnutzen. Es gibt einen Patch für diese Lücke in Windows Systemen, einschließlich derer, die Microsoft nicht mehr unterstützt. In den Fällen, in denen nicht direkt gepatcht werden kann, minimiert ein so genannter virtueller Patch die Gefahr.
  • Der Einsatz von Firewalls und Detection and Intrusion Prevention Systems kann ebenfalls die Ausbreitung der Bedrohung reduzieren. Ein Sicherheitssystem, das proaktiv die Angriffe im Netzwerk überwacht, ist eine wichtige Gegenmaßnahme gegen diese Bedrohungen.
  • Neben dem Einsatz eines Exploits für die Verbreitung, setzte WannaCry Berichten zufolge auch Spam als Eintrittspunkt ein. Daher ist es hilfreich, in Spam-Mails, die mithilfe von Social Engineering erstellt werden, so genannte Red Flags zu erkennen, die System-Exploits enthalten. IT- und Systemadministratoren sollten Sicherheitsmechanismen aufsetzen, die Endpunkte vor Mail-basierter Schadsoftware schützen.
  • WannaCry legt einige bösartige Komponenten auf dem System ab, um darüber die Verschlüsselungsroutine ablaufen zu lassen. Applikationskontrolle, die auf einer Whitelist aufbaut, kann unerwünschte oder unbekannte Anwendungen an der Ausführung hindern. Verhaltensanalyse kann von der Norm abweichende Änderungen an Systemen erkennen. Ransomware nutzt eine Reihe von Techniken, um Systeme zu infizieren, und die Verteidigung sollte dasselbe tun, um die Systeme zu schützen.
  • WannaCry verschlüsselt Dateien auf den lokalen Systemen und auf Netzwerkfreigaben. Der Einsatz von Datenkategorisierung verringert durch den Schutz der kritischen Daten ebenfalls die schädlichen Auswirkungen im Fall eines Einbruchs oder eines Angriffs.
  • Netzwerksegmentierung kann die Ausbreitung dieser Bedrohung intern verhindern. Ein gutes Netzwerkdesign kann die Verbreitung der Infektion eindämmen und damit den Schaden für das Unternehmen reduzieren.
  • Deaktivieren des SMB-Protokolls auf Systemen, wo es nicht benötigt wird, reduziert die Möglichkeiten für Angreifer, eine Sicherheitslücke zu finden.

Trend Micro-Lösungen

Trend Micro Smart Protection mit XGen Endpoint Security kombiniert High-Fidelity Machine Learning mit anderen Erkennungstechnologien und globalem Bedrohungswissen für einen umfassenden Schutz gegen Ransomware und fortschrittliche Malware. Die Trend Micro-Lösungen erkennen diese Bedrohungen als RANSOM_WANA.A und RANSOM_WCRY.I.

Bild 4. Trend Micro XGen Security erkennt und blockt alle Infektionsstadien der WannaCry-Ransomware

Trend Micro Deep Security™ und Vulnerability Protection, Trend Micro Deep Discovery Inspector und TippingPoint schützen gegen diese Bedrohung. Eine vollständige Liste mit entsprechenden Regeln und Filtern für die Trend Micro- und TippingPoint-Produkte gibt es auf der Trend Micro Support-Seite.

Folgende SHA256-Hashes gibt es in Bezug auf diese Ransomware:

  • 043e0d0d8b8cda56851f5b853f244f677bd1fd50f869075ef7ba1110771f70c2
  • 09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa
  • 11d0f63c06263f50b972287b4bbd1abe0089bc993f73d75768b6b41e3d6f6d49
  • 16493ecc4c4bc5746acbe96bd8af001f733114070d694db76ea7b5a0de7ad0ab
  • 190d9c3e071a38cb26211bfffeb6c4bb88bd74c6bf99db9bb1f084c6a7e1df4e
  • 201f42080e1c989774d05d5b127a8cd4b4781f1956b78df7c01112436c89b2c9
  • 2584e1521065e45ec3c17767c065429038fc6291c091097ea8b22c8a502c41d
  • 3f3a9dde96ec4107f67b0559b4e95f5f1bca1ec6cb204bfe5fea0230845e8301
  • 4186675cb6706f9d51167fb0f14cd3f8fcfb0065093f62b10a15f7d9a6c8d982
  • 4b76e54de0243274f97430b26624c44694fbde3289ed81a160e0754ab9f56f32
  • 57c12d8573d2f3883a8a0ba14e3eec02ac1c61dee6b675b6c0d16e221c3777f4
  • 78e3f87f31688355c0f398317b2d87d803bd87ee3656c5a7c80f0561ec8606df
  • 940dec2039c7fca4a08d08601971836916c6ad5193be07a88506ba58e06d4b4d
  • 9fb39f162c1e1eb55fbf38e670d5e329d84542d3dfcdc341a99f5d07c4b50977
  • a3900daf137c81ca37a4bf10e9857526d3978be085be265393f98cb075795740
  • b47e281bfbeeb0758f8c625bed5c5a0d27ee8e0065ceeadd76b0010d226206f0
  • b66db13d17ae8bcaf586180e3dcd1e2e0a084b6bc987ac829bbff18c3be7f8b4
  • b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25
  • c365ddaa345cfcaff3d629505572a484cff5221933d68e4a52130b8bb7badaf9
  • dff26a9a44baa3ce109b8df41ae0a301d9e4a28ad7bd7721bbb7ccd137bfd696
  • ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
  • eeb9cd6a1c4b3949b2ff3134a77d6736b35977f951b9c7c911483b5caeb1c1fb
  • f8812f1deb8001f3b7672b6fc85640ecb123bc2304b563728e6235ccbe782d85
  • fc626fe1e0f4d77b34851a8c60cdd11172472da3b9325bfe288ac8342f6c710a

Update vom 13. Mai und 15. Mai

SCHUTZ FÜR UNTERNEHMEN

  • E-Mail- und Gateway-Schutz

Trend Micro Cloud App Security, Deep Discovery™ Email Inspector und  InterScan™ Web Security schützen vor Ransomware, die über Kanäle wie Mail und das Web verteilt wird.

Spear Phishing-Schutz

Malware Sandbox

IP/Web Reputation

Erkennen von Dokumenten-Exploits

  • Endpoint-Schutz

Trend Micro Smart Protection Suites erkennt und stoppt verdächtiges Verhalten und Exploits im Zusammenhang mit Ransomware auf den Endpunkten.

Ransomware Verhaltens-Monitoring

Applikationskontrolle

Abschirmung von Sicherheitslücken

Websicherheit

  • Netzwerkschutz

Trend Micro Deep Discovery Inspector erkennt bösartigen Verkehr, Kommunikation und andere Aktivitäten, die mit Versuchen, Ransomware ins Netzwerk einzuschleusen, in Verbindung stehen.

Scannen des Netzwerkverkehrs

Malware Sandbox

Verhindern von lateralen Bewegungen

  • Serverschutz

Trend Micro Deep Security™ erkennt und stoppt verdächtige Netzwerkaktivitäten und schirmt Server und Anwendungen vor Exploits ab.

Schutz für Webserver

Abschirmung von Sicherheitslücken

Verhindern von lateralen Bewegungen

SCHUTZ FÜR KLEINE UND MITTLERE UNTERNEHMEN UND FÜR PRIVATANWENDER

  • Schutz für kleine/mittlere Unternehmen

Trend Micro Worry-Free Services Advanced bietet Cloud-basierte Mail Gateway-Sicherheit über Hosted Email Security, die Ransomware erkennen und blocken kann.

Ransomware Verhaltens-Monitoring

IP/Web-Reputation

  • Schutz für Heimanwender

Trend Micro Security 10 liefert einen robusten Schutz vor Ransomware, indem die Lösunge bösartige Websites, Mails und Dateien in Verbindung mit dieser Bedrohung blockt.

IP/Web-Reputation

Schutz vor Ransomware

 

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*