Was ist gerade passiert?
Ein Ransomware-Angriff breitet sich sehr schnell unter ungepatchten Windows-Systemen weltweit aus. Heute Morgen wurde zunächst angenommen, dass der Angriff auf den britischen Nationalen Gesundheitsdienst abzielt, doch im Laufe des Tages hat sich herausgestellt, dass es sich um einen globalen Angriff handelt.
Kaspersky Labs berichtete am Freitagnachmittag, dass mindestens 45.000 Rechner in 74 Ländern infiziert sind. Avast bezifferte die Zahl auf 57.000 Infektionen in 99 Ländern. Und das alles innerhalb von nur 10 Stunden. Von diesen infizierten Rechnern waren Russland, die Ukraine und Taiwan die Hauptziele.
Einem Bericht zufolge wird eine Bitcoin-Brieftasche von der Ransomware verwendet, um eingehende Transaktionen zwischen 0,15 und 0,3 BTC zu sammeln, was heute etwa 250 bis 500 US-Dollar entspricht. Das bedeutet, dass Menschen für das Entsperren von Dateien bezahlen, die im Rahmen des Angriffs verschlüsselt wurden. Der Betrag ist ein interessanter Wert, da er niedrig genug ist, um eine Person dazu zu verleiten, in der Hoffnung auf die Wiederherstellung ihrer Daten zu zahlen, und es dem Angreifer ermöglicht, aufgrund der großen Anzahl infizierter Computer einen beträchtlichen Gewinn zu erzielen. Es handelt sich um einen Ransomware-Angriff im großen Stil.
Wie ist ein solch massiver Angriff möglich?
Shadow Brokers haben der Welt eine Reihe leistungsfähiger Tools zur Verfügung gestellt, mit denen jeder, der eine Datei herunterladen kann, eine Menge Hacking betreiben kann. Der Inhalt der Schatzkammer der Shadow Brokers umfasste kompilierte Binärdateien für Exploits, die auf Schwachstellen in einer ganzen Reihe von Windows-Betriebssystemen abzielen, darunter Windows 8 und Windows 2012. Es soll sich dabei um Hacking-Tools handeln, die einst von der NSA verwendet wurden.
Eine der Windows-Schwachstellen im Cache wird als EternalBlue bezeichnet. Sie nutzt einen Fehler bei der Remotecodeausführung in Windows 7 und 2008 aus, der die Protokolle Server Message Block (SMB) und NetBT verwendet. Die ausgenutzte Schwachstelle ermöglicht Remotecodeausführung, wenn ein Angreifer speziell gestaltete Nachrichten an einen Microsoft Server Message Block 1.0 (SMBv1)-Server sendet. Ein Blick auf den Code der Ransomware zeigt, dass sie diese EternalBlue-Schwachstelle ausnutzt.
Wie kommt es hinein?
Es könnte ein Phishing-Angriff, ein Watering-Hole-Angriff oder ein bereits infizierter Computer sein, der Teil eines Botnetzes ist, das vom Angreifer gekauft wurde, um die Ransomware innerhalb des Unternehmens zu verbreiten. Es muss lediglich der Computer einer Person in einem Netzwerk über einen Phishing-Angriff infiziert werden, um sich dann mithilfe des darauf basierenden Exploits über das Netzwerk auf andere Windows-Computer zu verbreiten.
Ein Benutzer kann sich also nicht immer schützen, indem er nur darauf achtet, keine Phishing-E-Mail von einer unbekannten Quelle oder ein verdächtiges Dokument zu öffnen.
Dies verbreitet sich sehr schnell und sehr weit
In Anbetracht der Geschwindigkeit und des Ausmaßes der Angriffe ist es wahrscheinlich, dass die Ransomware über einen Rechner eindringt und sich über eine Art Scan-/Exploit-Wiedergabe seitlich im Inneren ausbreitet. Ransomware wie diese benötigt keine externe Befehls- und Kontrollsignalisierung. Daher sind herkömmliche Perimeter-Schutzmaßnahmen nutzlos, da sie nach einem Ransomware-Rückruf suchen, um die Verbreitung eines Ransomware-Angriffs zu erkennen und zu verhindern.
Für eine ungepatchte Sicherheitslücke ist es nicht schwer, einen einzigen infizierten Host in tausend Netzwerke zu bekommen. Dies ist das Wettrüsten zwischen den Angreifern, die die von Shadow Brokers veröffentlichten Windows-Schwachstellen ausnutzen, und den Unternehmen, die den von Microsoft herausgegebenen Patch erst noch implementieren müssen.
Sich wehren
Nicht unterstützte Software ist ein ständiges Problem, das die Grenzen von Software-Updates und Patches als primäre Verteidigungslinie aufzeigt. Microsoft hat einen Patch für diese Sicherheitslücke bereitgestellt, der zwar verfügbar ist, aber nicht bedeutet, dass er auf jedem Windows-Computer implementiert wurde. Der erste Schritt einer jeden Verteidigung ist eine aktive Patching-Strategie für bekannte ausnutzbare Sicherheitslücken. Dies hätte die Tür zu den Windows-Schwachstellen, die durch den Shadow Brokers-Dump aufgedeckt wurden, geschlossen.
Für den Fall, dass die Schwachstelle unbekannt ist oder nicht genügend Zeit für einen Patch zur Verfügung steht, benötigen Unternehmen eine Methode zur schnellen Erkennung und Reaktion. Dazu sollte die Überwachung des internen Datenverkehrs auf Angreiferverhalten wie Aufklärung, seitliche Bewegungen und Dateiverschlüsselung gehören, anstatt zu versuchen, bestimmte Ransomware-Varianten in Netzwerkströmen oder ausführbaren Dateien zu erkennen.
Um künftige Angriffe zu verhindern, müssen wir zu einem Modell der Verhaltenserkennung übergehen, anstatt das spezifische Tool oder die Malware zu erkennen. Die Verhaltenserkennung ist viel effektiver, erfordert aber eine eingehende Analyse des Netzwerkverkehrs. Mit den Fortschritten in der künstlichen Intelligenz, die die Sicherheitsteams unterstützt, geht die Branche dazu über, das Verhalten von Angreifern in Echtzeit zu erkennen.
Weitere Informationen zur Bekämpfung von Ransomware finden Sie in diesem Bericht.