Von Hackern erpresst
Die 5 größten Ransomware-Attacken
Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
WannaCry: Wenn der IT Security zum Heulen ist
CryptoLocker hat Ransomware "salonfähig" gemacht und dem Status der Web-Kuriosität enthoben. Mitte 2017 sorgen dann gleich zwei globale Attacken mit erpresserischen Schädlingen für einen erneuten Paradigmenwechsel: Ransomware wird zur existenziellen Bedrohung. Den Anfang macht Mitte Mai 2017 WannaCry, die laut Jonathan Penn "schlimmste Ransomware-Attacke in der Geschichte". Am 12. Mai beginnt die Ausbreitung, vier Tage später registriert Sicherheitsanbieter Avast bereits 250.000 befallene Systeme in 116 Ländern.
Die Bedeutsamkeit von WannaCry liegt jedoch nicht in den Zahlen. Denn es ist die erste Angriffswelle, bei der gestohlene Hacking-Tools aus dem Bestand der NSA zum Einsatz kommen. Im Fall von WannaCry handelt es sich dabei um "EternalBlue" - ein Exploit der eine Schwachstelle im Windows-SMB-Protokoll ausnutzt. Microsoft rollt bereits Monate zuvor ein Sicherheitsupdate aus, das die Lücke beheben soll. Das Problem ist nur: Kaum ein Unternehmen, beziehungsweise Institution hat dieses installiert.
So kann sich WannaCry ungehemmt über die Endgeräte über ganze Netzwerke ausbreiten - eine zusätzliche Interaktion durch den User ist dazu nämlich nicht von Nöten. Laut Kyle Wilhoit, Sicherheitsforscher bei DomainTools, machen es manche Unternehmen den Hackern besonders einfach: "Der betroffene SMB-Port 445 war in vielen Unternehmen offen über das Netz angreifbar. Das hat bei der Verbreitung des Wurms geholfen."
Petya / NotPetya: Und täglich grüßt die Ransomware
WannaCry läutet das neue Ransomware-Zeitalter ein, Petya (auch bekannt als NotPetya) macht kurz darauf deutlich, wie ernst die Bedrohung einzuschätzen ist. Erstmals tritt Petya bereits 2016 als Ransomware in Erscheinung. Ende Juni 2017 verbreitet sich dann eine Abwandlung - über dieselbe Sicherheitslücke wie WannaCry ("Eternal Blue"). Wieder sind viele Unternehmen, Regierungsinstitutionen und Krankenhäuser betroffen, der Schwerpunkt liegt in der Ukraine und Russland.
Im Zuge ihrer Untersuchungen gehen viele Experten wenig später davon aus, dass hinter der Petya-Ransomware keine monetären Interessen stecken. Stattdessen gehe es um die gezielte Zerstörung von Daten. Möglicher Hintergrund: Ein von Moskau aus gelenkter Hackerangriff auf die Ukraine.
"Es gab jede Menge Diskussionen darüber, wer hinter der WannaCry-Attacke stecken könnte", so Varun Badhwar, CEO von RedLock. "Aber auch diese Information wird künftige Angriffe nicht verhindern können. Malware Exploits und Toolkits sind im Internet für jeden frei verfügbar - egal ob Script-Kiddie, Mitglied der organisierten Kriminalitität oder Geheimdienst-Mitarbeiter. Der Fakt, dass sich Petya so schnell ausbreiten konnte, zeigt, dass Unternehmen auf der ganzen Welt das Thema IT Securitynicht so ernst nehmen wie sie sollten."
Ransom-Awareness?
Wie bei den meisten Datenschutz- und Sicherheits-Fails liegt auch in Sachen Ransomware der Fehler nicht unbedingt im Programmcode, sondern beim Menschen.
"Die meisten Ransomware-Attacken beginnen mit einer simplen Phishing-Email, also auf sehr unpersönlicher und nicht zielgerichteter Ebene", weiß Sicherheitsberater Alan Levine von WombatSecuritySecurity. "Aber ob es zu einer Infektion kommt oder nicht, hängt ganz von den Entscheidungen des Endanwenders ab. Sie stehen zwischen der IT-Abteilung und einem potenziellen Desaster." Alles zu Security auf CIO.de
Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation csoonline.com.
- Das hilft gegen Ransomware-Angriffe
Die kriminelle Hackerszene ist ständig auf der Suche nach neuen Wegen, Unternehmen und Privatpersonen zu schaden. Der Einsatz von Malware zu Erpressungszwecken - sogenannte Ransomware - wird unter Cyberkriminellen immer beliebter. Wir zeigen Ihnen, was Sie gegen Ransomware-Hacker tun können. In Kooperation mit Check Point Software Technologies zeigen wir Ihnen, welche Mittel Sie gegen Ransomware-Angriffe ergreifen können. - Software-Update
Viel zu oft werden bekannte Schwachstellen in gängigen Apps nicht repariert, obwohl Patches zur Verfügung stehen. - Backup
Regelmäßige Sicherung der wichtigsten Daten in einem Speichermedium, das normalerweise physisch isoliert ist. - Aktueller Endpunkt-Schutz
Es ist schon eine große Herausforderung, sich vor den neuesten und raffiniertesten Bedrohungen zu schützen; Man möchte sich aber sicher nicht der Gefahr aussetzen, von Ransomware getroffen zu werden, die schon seit Jahren bekannt ist. - Intrusion Prevention System
Nutzung einer IPS-Lösung mit aktuellen Signaturen, die in der Lage ist, die Inhalte von HTTPS-Traffic zu überwachen. Eine leistungsfähige IPS-Lösung kann die Web-Transaktionen unterbrechen, die für das Funktionieren eines Exploit-Kits erforderlich sind. - Datei- und Dokumenten-Analyse
Analyse von eingehenden Dokumenten und Programmdateien, bevor diese Zugang zum Netzwerk erhalten - Sandboxing, Verhaltensanalysen, Firewalls, selbst einfache Antivirus-Scans sind wichtig. Und was, wenn es schon zu spät ist und die Ransomware das Netzwerk befallen hat? - Sample-Extraktion
Falls möglich, sollte ein Sample, das die Rechner infiziert hat, gesichert und mit Open-Source Intelligence Pools, wie VirusTotal, verglichen werden. Es gilt dabei herauszufinden, ob es sich um eine bekannte Bedrohung handelt. Man muss möglichst viel über die Vorgehensweise, das Verschlüsselungsschema und das Finanzmodell der Malware in Erfahrung bringen. - Netzwerkprotokolle wiederherstellen
Die Kommunikation der Malware aus allen Netzwerkprotokollen, die überlebt haben könnten, sollte man wiederherstellen, soweit dies möglich ist. Dort könnte irgendwo der Schlüssel stecken. - Verschlüsselungsanalyse
Analyse der verschlüsselten Dateien, um erkennen zu können, ob schwache oder starke Verschlüsselung verwendet wurde. Wurde eine schwache Verschlüsselung verwendet, ist es vielleicht möglich, sie zu knacken und die Dateien wiederherzustellen.