Was ist gerade passiert?
Ein Angriff von ransomware breitet sich sehr schnell unter ungepatchten Windows-Systemen weltweit aus. Heute Morgen wurde zunächst angenommen, dass der Angriff auf den britischen National Health Service abzielt, aber im Laufe des Tages wurde klar, dass es sich um einen globalen Angriff handelt.
Kaspersky Labs berichtete am Freitagnachmittag, dass mindestens 45.000 Rechner in 74 Ländern infiziert sind. Avast bezifferte die Zahl auf 57.000 Infektionen in 99 Ländern. Und das alles innerhalb von nur 10 Stunden. Von diesen infizierten Rechnern waren Russland, die Ukraine und Taiwan die Hauptziele.
Einem Bericht zufolge wird eine Bitcoin-Brieftasche von ransomware verwendet, um eingehende Transaktionen zwischen 0,15 und 0,3 BTC zu sammeln, die heute etwa 250 bis 500 US-Dollar wert sind. Das bedeutet, dass die Leute dafür bezahlen, dass sie die im Rahmen des Angriffs verschlüsselten Dateien entsperren. Der Betrag ist ein interessanter Wert, da er niedrig genug ist, um eine Person dazu zu verleiten, in der Hoffnung auf die Wiederherstellung ihrer Daten zu zahlen, was dem Angreifer aufgrund der großen Anzahl infizierter Computer einen beträchtlichen Geldsegen ermöglicht. Es handelt sich um einen wirtschaftlich ausgerichteten Angriff ransomware .
Wie ist ein solch massiver Angriff möglich?
Shadow Brokers haben der Welt eine Reihe leistungsfähiger Tools zur Verfügung gestellt, mit denen jeder, der eine Datei herunterladen kann, eine Menge Hacking betreiben kann. Der Inhalt der Schatzkammer der Shadow Brokers umfasste kompilierte Binärdateien für Exploits, die auf Schwachstellen in einer ganzen Reihe von Windows-Betriebssystemen abzielen, darunter Windows 8 und Windows 2012. Es soll sich dabei um Hacking-Tools handeln, die einst von der NSA verwendet wurden.
Eine der Windows-Schwachstellen im Cache wird als EternalBlue bezeichnet. Sie nutzt einen Fehler bei der Remotecodeausführung in Windows 7 und 2008 aus, der die Protokolle Server Message Block (SMB) und NetBT verwendet. Die ausgenutzte Schwachstelle ermöglicht Remotecodeausführung, wenn ein Angreifer speziell gestaltete Nachrichten an einen Microsoft Server Message Block 1.0 (SMBv1)-Server sendet. Ein Blick auf den Code von ransomware zeigt, dass der Angreifer den EternalBlue-Exploit EternalBlue verwendet.
Wie kommt es hinein?
Es könnte ein phishing -Angriff, ein Watering-Hole-Angriff oder ein bereits infizierter Computer sein, der Teil eines Botnets ist, das vom Angreifer gekauft wurde, um die ransomware innerhalb des Unternehmens zu verbreiten. Es muss lediglich der Computer einer Person in einem Netzwerk über einen phishing -Angriff infiziert werden, der sich dann mithilfe des darauf basierenden Exploits über das Netzwerk auf andere Windows-Computer ausbreitet.
Ein Benutzer kann sich also nicht immer schützen, indem er einfach nur darauf achtet, keine phishing E-Mail von einer unbekannten Quelle zu öffnen oder ein verdächtiges Dokument zu öffnen.
Dies verbreitet sich sehr schnell und sehr weit
In Anbetracht der Geschwindigkeit und des Ausmaßes der Angriffe scheint es wahrscheinlich, dass der Angriff über einen Rechner erfolgt und sich seitlich im Inneren über eine Art Scan/Exploit-Wiedergabe ausbreitet. Ransomware benötigt keine externen Befehls- und Kontrollsignale, so dass herkömmliche Perimeter-Verteidigungssysteme nutzlos sind, da sie nach einem ransomware Rückruf suchen, um die Ausbreitung eines ransomware Angriffs zu erkennen und zu verhindern.
Für eine ungepatchte Sicherheitslücke ist es nicht schwer, einen einzigen infizierten Host in tausend Netzwerke zu bekommen. Dies ist das Wettrüsten zwischen den Angreifern, die die von Shadow Brokers veröffentlichten Windows-Schwachstellen ausnutzen, und den Unternehmen, die den von Microsoft herausgegebenen Patch erst noch implementieren müssen.
Sich wehren
Nicht unterstützte Software ist ein ständiges Problem, das die Grenzen von Software-Updates und Patches als primäre Verteidigungslinie aufzeigt. Microsoft hat einen Patch für diese Sicherheitslücke bereitgestellt, der zwar verfügbar ist, aber nicht bedeutet, dass er auf jedem Windows-Computer implementiert wurde. Der erste Schritt einer jeden Verteidigung ist eine aktive Patching-Strategie für bekannte ausnutzbare Sicherheitslücken. Dies hätte die Tür zu den Windows-Schwachstellen, die durch den Shadow Brokers-Dump aufgedeckt wurden, geschlossen.
Für den Fall, dass die Schwachstelle unbekannt ist oder nicht genügend Zeit für Patches zur Verfügung steht, benötigen Unternehmen eine Methode zur schnellen Erkennung und Reaktion. Dazu sollte die Überwachung des internen Datenverkehrs auf Verhaltensweisen von Angreifern wie Aufklärung, seitliche Bewegungen und Dateiverschlüsselung gehören, anstatt zu versuchen, bestimmte ransomware Varianten in Netzwerkströmen oder ausführbaren Dateien zu erkennen.
Um künftige Angriffe zu verhindern, müssen wir zu einem Modell der Verhaltenserkennung übergehen, anstatt das spezifische Tool oder malware zu erkennen. Die Verhaltenserkennung ist viel effektiver, erfordert aber eine eingehende Analyse des Netzwerkverkehrs. Mit den Fortschritten in der künstlichen Intelligenz, die die Sicherheitsteams verstärkt, geht die Branche dazu über, das Verhalten von Angreifern in Echtzeit zu erkennen.
Weitere Informationen über die Bekämpfung von ransomwarefinden Sie in diesem Bericht.