Achtung!!! Neue Angriff von Ransomware

Seit Anfang dieser Woche gibt es eine neue massive Welle von Ransomware-Vorfällen. Die neue Bedrohung weißt eine Ähnlichkeit mit den bereits länger bekannten Petya/Pet(r)Wrap hat. Diese Schadsoftware nutzt, wie bereits WannaCry Schwachstellen in Windows-Systemen – für die schon seit längeren Updates zur Verfügung stehen. Außerdem kann sich die Software durch veraltete Einstellungen kann sich die Malware im lokalen Netzwerk weiterverbreiten.

Was ist Ransomware?

Ransomware ist kein neue Erscheinung, das ist für Cyberkriminelle ein lohnendes Geschäftsmodell, um Geld zu erpressen. Die Liste der bekannten Ransomware-Varianten ist lang, die bekannte Namen sind Locky, CryptoLocker, TeslaCrypt, Samsam oder Reveton.

Würmer sind auch nicht Neues, das sind Programme, die sich selbstständig weiterverbreiten. Dazu enthalten sie eine Komponente, die aktiv nach einer Schwachstelle (oder auch veraltete Einstellungen) in anderen Computern suchen und diese ausnutzen, um sich selbst dorthin zu kopieren und zu starten. Bekannte Beispiele dafür sind Würmer, wie ILOVEYOU, Code Red, Nimda, Conficker oder Mirai und auch recht neu WannaCry.

Das „innovative“ an der neuen Variante ist, dass sie nicht nur über eine einzige Schwachstelle weiterverbreitet, sondern über mehrere sowie über nicht mehr zeitgemäße Konfigurationen/Einstellungen.

Was macht diese Variante?

Dadurch das sich Würmer selbstständig weiter verbreiten, kommt es zu deutlich schwereren Schadensfällen als im Vergleich zu klassischer Ransomware. Je nachdem, welche Rechte die Software im betroffenen System erlagen kann, unterscheidet sich  auch das Verhalten, was genau verschlüsselt wird.

Abhilfe:

  • Betroffene Systeme abschalten: je nach lokalen Gegebenheiten und „Fortschritt“ der Schadsoftware kann es sein, dass noch nicht alle Daten wirklich verschlüsselt sind, und diese (mit Experten-Hilfe) wiederhergestellt werden können.
  • Nicht zahlen. Wir empfehlen generell, bei Ransomware-Angriffen nicht zu zahlen, um das Geschäftsmodell der Angreifer nicht noch zu unterstützen. Im aktuellen Fall ist auch nach Zahlung keine Kontaktaufnahme mit den Angreifern zur Übermittlung eines Entschlüsselungscodes möglich, da die angegebene Email-Adresse bereits gesperrt wurde.
  • Einspielen von MS17-010. Microsoft hat inzwischen auch für ältere Systeme (Windows XP, Windows Server 2003) die Patches freigegeben. Diese sollten dringend auf allen Systemen         eingespielt, und diese Systeme dann auch neu gestartet, werden.
  • Generische Ransomware Abwehr. Da der initiale Vektor noch nicht bekannt ist, sollte die Abwehrstrategie gegen jegliche Infektionen überprüft und nachgeschärft werden. Insbesondere         aktive (Macros, Scripte, …) Inhalte in eingehenden Mails sollten gefiltert werden. Funktionierende und aktuelle Backups sind ein essentieller Teil der Ransomware-Abwehr: Dies ist ein         guter Anlass, dieses Thema zu überprüfen. Auch eine Einschränkung der Ausführung von nicht zentral geprüften und freigegebenen Programmen könnte helfen.
  • Abdrehen von SMBv1. Diese alte Version des Filesharing-Protokolls sollte nicht mehr aktiv sein. Siehe Microsoft Knowledge Base Artikel 2696547.
  • Erreichbarkeit von SMB Servern von außen verhindern. Windows Fileserver sollten nicht aus dem Internet erreichbar sein. Eingehende Anfragen auf Port 445 sollten daher von der Firewall     unterbunden werden.
  • Isolieren von unpatchbaren Systemen. Falls ein Windows-System nicht gegen die SMB-Lücke gepatcht werden kann, so muss dieses System vom Rest des internen Netzes isoliert werden.
  • Isolieren von Windows-Clients: von Client zu Client ist im Normalfall keine Kommunikation notwendig. Microsoft regt auch an, anzudenken ob man WMI und File Sharing nicht generell         abdrehen könnte. Da dies potentiell gravierende Auswirkungen auf den normalen IT-Betrieb haben kann, können wir dies nicht allgemein empfehlen.
  • Restriktive Benutzer-Rechte: Benutzer sollten nie mit lokalen Admin-Rechten ausgestattet sein.
  • Unterschiedliche Admin-Accounts je Client-Rechner: es sollte für jeden Client-Rechner einen eigenen lokalen Admin-Account geben. Microsoft stellt dazu ein eigenes Tool (LAPS) bereit.
By | 2017-06-28T15:15:35+00:00 Juni 28th, 2017|Allgemein, Betriebssystem, IT, Microsoft, Microsoft, Service, Sicherheit, Software, Windows|0 Comments

About the Author:

Leave A Comment