Vectra Threat Labs analysierte die WannaCry-Ransomware, um ihre Funktionsweise zu verstehen. Dabei stellte sich heraus, dass die Art und Weise, wie die Ransomware Computer infiziert, zwar neu ist, die Verhaltensweisen, die sie an den Tag legt, jedoch ganz normal sind.
WannaCry und seine Varianten verhalten sich ähnlich wie andere Formen von Ransomware, die Vectra erkannt und Kunden in die Lage versetzt hat, sie zu stoppen, bevor sie weitreichende Schäden erlitten. Dies ist ein direkter Vorteil der Konzentration auf die Erkennung von Ransomware-Verhaltensweisen und nicht auf spezifische Exploits oder Malware. Bei vielen Verhaltensweisen von WannaCry handelt es sich um Erkundungen und seitliche Bewegungen im internen Netzwerk innerhalb des Unternehmensperimeters.
Die folgenden Informationen beschreiben die Vectra Erkennungen im Zusammenhang mit WannaCry und seinen Varianten, die in einem Netzwerk operieren, und wie sie Unternehmen eine schnelle Reaktion ermöglichen.
Wird Vectra Wannacry und seine Varianten erkennen?
Ja. Vectra erkennt aktive WannaCry-Ransomware in Ihrem Netzwerk und auch Varianten. Bevor Ransomware Dateien verschlüsseln kann, muss sie Dateifreigaben im Netzwerk ausfindig machen. Dies erfordert eine interne Erkundung. Vectra ist in der Lage, Erkundungsverhalten zu erkennen und alle Verhaltensweisen, die mit infizierten Hosts in Verbindung stehen, zu bewerten. Hosts, die mit Ransomware infiziert sind, stellen ein kritisches Risiko dar, und diese Verhaltensweisen erhalten die höchsten Werte für Bedrohung und Sicherheit, um diese Hosts für eine sofortige Reaktion auf den Vorfall zu priorisieren.
Das Beste daran ist, dass die Kunden von Vectra diese Erkennung hatten, bevor WannaCry zuschlug.
Die Teams für Sicherheitsforschung und künstliche Intelligenz von Vectra haben festgestellt, dass infizierte Hosts wahrscheinlich die folgenden Verhaltensweisen zeigen:
- Befehls- und Kontrollkommunikation über das TOR-Netz.
- Durchsuchen des internen Netzwerks und des Internets auf Port 445 nach Computern mit der Sicherheitslücke MS17-010.
- Automatische Replikation von Malware, sobald ein Rechner mit der Sicherheitslücke MS17-010 gefunden wurde.
- Verschlüsselung von Dateien auf lokalen und gemappten Netzwerkdateifreigaben.
Wie kann ich die Reaktion auf WannaCry und seine Varianten verbessern?
Wir empfehlen, E-Mail-Benachrichtigungen zu konfigurieren, die sich auf die Erkennung von Angreiferverhalten im Zusammenhang mit WannaCry und seinen Varianten beziehen, um die Untersuchung zu priorisieren.
Vectra festgestellt, dass eine hohe Priorität für Aktivitäten auf Port 445 frühe Hinweise auf einen Angriff liefert:
- Ausgehender Port-Sweep
- Hafenrundgang
- Interner Darknet-Scan
- Automatisierte Replikation
- Aktivität der Ransomware-Datei
- File Share Aufzählung
Es wird auch empfohlen, bei allen Erkennungen von TOR-Aktivitäten eine Warnung auszusenden. Der Onion Router (TOR) ist kein Tool, das üblicherweise in Unternehmen verwendet wird, und ist oft ein Indikator für jemanden, der versucht, seinen Standort und seine Aktivitäten zu verbergen. TOR-Aktivitäten sind oft ein Grund, um mögliches schändliches Verhalten zu untersuchen.
Durch die Bewertung aller erkannten Angreiferverhaltensweisen nach Bedrohungsgrad und Sicherheit können Sie Hosts für die Reaktion auf Vorfälle schnell priorisieren, indem Sie die Schwellenwerte für E-Mail-Benachrichtigungen auswählen.
Was muss ich tun, um auf einen festgestellten Angriff zu reagieren?
Vectra stellt dem Sicherheitsanalysten alle Informationen zur Verfügung, um eine fundierte Entscheidung zu treffen. Wenn Vectra eines oder mehrere dieser Angreifer-Verhaltensweisen auf einem Host entdeckt, können Sie je nach Bedrohungsgrad und Ihrer internen Richtlinie eine von mehreren Aktionen automatisieren.
- Stellen Sie den Host unter Quarantäne oder entfernen Sie ihn aus dem Netzwerk. WannaCry hat virale oder wurmartige Ausbreitungstendenzen gezeigt. Die Isolierung eines Hosts vom Netzwerk ist der schnellste Weg, die Verbreitung zu stoppen.
- Quarantäne aller Hosts, die als Ziel-IP-Adressen in einer automatischen Replikationserkennung aufgeführt sind, wenn sie von einem Host kontaktiert wurden, bei dem der Verdacht auf eine WannaCry-Infektion besteht.
- Führen Sie einen Reimage der infizierten Hosts durch und stellen Sie die Dateien von einem Offline-Backup wieder her, um eine erneute Infektion zu vermeiden.
- Falls eine Ransomware-Aktivität erkannt wird, stellen Sie verschlüsselte Dateien auf den Dateifreigaben aus einem Offline-Backup wieder her.
Was nun?
Dies ist nur einer von vielen weiteren Angriffen, die noch kommen werden. Sie werden andere Namen haben und andere Exploits verwenden. Was sich nicht ändert, ist die Art der Angriffe und ihr Verhalten. Wir wissen zwar nicht, was genau der nächste große Angriff sein wird, aber wir wissen, dass Sie darauf vorbereitet sein müssen. Und Sie brauchen Hilfe. Fortschritte in der künstlichen Intelligenz ermöglichen es der Technologie, die Sicherheitsteams zu verstärken, und die Branche muss sich darauf einstellen, das Verhalten von Angreifern in Echtzeit zu erkennen.