Vectra-Erkennung und Reaktion auf WannaCry Ransomware

Mai 16, 2017

Vectra-Erkennung und Reaktion auf WannaCry Ransomware

Im Mai 2017 machte der Angriff WannaCry ransomware weltweit Schlagzeilen, bei dem eine Sicherheitslücke in Microsoft Windows ausgenutzt wurde, um in kürzester Zeit über 200 000 Computer in 150 Ländern zu infizieren. Dieser groß angelegte ransomware Angriff wurde der Lazarus Group zugeschrieben, einer Cybercrime-Gruppe mit angeblichen Verbindungen zu Nordkorea. Der EternalBlue-Exploit, der der NSA zugespielt wurde, war eine Schlüsselkomponente des Angriffs, die es WannaCry ermöglichte, sich schnell über Netzwerke zu verbreiten. Trotz der schnellen Ausbreitung ist das Verhalten von WannaCry, sobald es in ein Netzwerk eingedrungen ist, Sicherheitsexperten bekannt.

Die Vectra Threat Labs analysierten das Innenleben von WannaCry, um die Bedrohung zu verstehen. Sie fanden heraus, dass die anfängliche Infektionsmethode zwar neuartig war, das Verhalten von WannaCry aber typisch für ransomware ist, auf das Vectra bereits gestoßen ist. Dies unterstreicht, wie wichtig es ist, sich auf die Erkennung von ransomware Verhaltensweisen zu konzentrieren, anstatt sich nur auf die Identifizierung bestimmter Exploits oder malware Signaturen zu verlassen. Vectra-Kunden haben bereits ähnliche Bedrohungen erkannt und gestoppt, lange bevor WannaCry weltweite Störungen verursachte.

Wie funktioniert WannaCry?

Sobald er einen Computer infiziert hat, folgt WannaCry dem bekannten Muster der Erkundung und seitlichen Bewegung über interne Netzwerke. ransomware sucht nach anfälligen Systemen, verbreitet sich über die Sicherheitslücke MS17-010, verschlüsselt schließlich Dateien und verlangt eine Zahlung in Bitcoin, um den Zugriff wiederherzustellen. Während diese Art von Angriff verheerend sein kann, ist die Vectra AI Plattform ist so konzipiert, dass sie diese Verhaltensweisen erkennt und es den Sicherheitsteams ermöglicht, schnell zu reagieren und den Schaden zu begrenzen.

Wird Vectra WannaCry und seine Varianten erkennen?

Ja. Vectra ist in der Lage, aktive WannaCry-Infektionen und alle zukünftigen Varianten zu erkennen, die möglicherweise auftauchen. Es ist wichtig, sich daran zu erinnern, dass ransomware wie WannaCry, bevor es Dateien verschlüsseln kann, zuerst das Netzwerk erkunden muss, um Dateifreigaben zu finden. Dieser Prozess erfordert eine interne Erkundung, die Vectra zusammen mit den anderen Verhaltensweisen, die mit infizierten Hosts verbunden sind, erkennen kann.

Der Ansatz von Vectra weist den Verhaltensweisen von ransomware die höchsten Bedrohungs- und Sicherheitswerte zu und stellt sicher, dass diese kritischen Risiken für eine sofortige Reaktion auf den Vorfall priorisiert werden. Der Vorteil für Vectra-Kunden besteht darin, dass diese Erkennungen bereits vor dem Auftreten von WannaCry vorhanden waren und somit verdächtige Aktivitäten frühzeitig erkannt werden konnten.

Vectras Erkennungen von WannaCry-bezogenen Verhaltensweisen

Die KI-gesteuerten Erkennungsfunktionen von Vectra beruhen auf einem umfassenden Verständnis des Verhaltens von Angreifern. Im Folgenden sind einige der wichtigsten Verhaltensweisen aufgeführt, die bei WannaCry-Infektionen beobachtet wurden:

Command and Control: Kommunikation über das TOR-Netzwerk, das häufig von Angreifern genutzt wird, um ihre Aktivitäten zu verbergen.
Netzwerk-Scanning: Scannen des internen Netzwerks und des Internets auf Port 445 nach Systemen, die für die Sicherheitslücke MS17-010 anfällig sind.
Automatisierte Malware Replikation: Sobald ein anfälliger Rechner identifiziert ist, repliziert sich WannaCry automatisch, um sich weiter zu verbreiten.
Verschlüsselung von Dateien: Verschlüsselung von Dateien sowohl auf lokalen Laufwerken als auch auf zugeordneten Netzwerkfreigaben.

Wie kann ich meine Reaktion auf WannaCry und seine Varianten verbessern?

Die Verbesserung Ihrer Reaktion auf WannaCry beginnt mit der Priorisierung von Warnungen, die auf dem Verhalten der Angreifer basieren. Vectra empfiehlt, E-Mail-Warnungen zu konfigurieren, die sich auf die folgenden Verhaltensweisen der Angreifer beziehen:

Ausgehender Port-Sweep: Scannen ausgehender Ports, um verwundbare Systeme zu finden.
Interner Darknet-Scan: Erkennung von Versuchen, versteckte oder schlecht gesicherte interne Ressourcen zu finden.
Automatisierte Replikation: Identifizierung von Versuchen von WannaCry, sich über das Netzwerk zu replizieren.
Ransomware Datei Aktivität: Warnungen für verschlüsselte Dateien, die aktive ransomware signalisieren.
File Share Enumeration: Überwachung von Versuchen, Dateifreigaben im Netzwerk zu finden.

Darüber hinaus wird empfohlen, alle TOR-Aktivitäten mit einer Warnmeldung zu versehen. TOR ist zwar ein legitimes Mittel zur Anonymität, wird aber in Unternehmensumgebungen nur selten verwendet und signalisiert oft verdächtiges Verhalten.

Durch die Überwachung und Priorisierung von Verhaltensweisen im Zusammenhang mit WannaCry und seinen Varianten ermöglicht es Vectra den Sicherheitsteams, schnell auf Infektionen zu reagieren und das Risiko eines weitreichenden Schadens zu verringern.

Welche Maßnahmen sollte ich ergreifen, wenn ein Angriff festgestellt wird?

Vectra legt die Macht in die Hände von Sicherheitsanalysten und liefert umsetzbare Erkenntnisse, die dabei helfen, schnelle und fundierte Entscheidungen zu treffen. Wenn Vectra Verhaltensweisen erkennt, die mit WannaCry oder ähnlichen Bedrohungen in Verbindung stehen, können Sicherheitsteams auf der Grundlage interner Richtlinien die folgenden Reaktionen automatisieren:

Stellen Sie den Host unter Quarantäne: WannaCry verbreitet sich wie ein worm, daher kann die Isolierung infizierter Hosts vom Netzwerk weiteren Schaden verhindern.
Zielhosts unter Quarantäne stellen: Wenn Vectra eine automatische Replikation erkennt, werden die Ziel-IPs, mit denen der infizierte Host zu kommunizieren versucht hat, unter Quarantäne gestellt.
Neu sichern und wiederherstellen: Führen Sie bei infizierten Hosts eine Neuinstallation des Systems durch und stellen Sie die Dateien von einem Offline-Backup wieder her, um eine erneute Infektion zu vermeiden.
Wiederherstellung von Dateien: Im Falle einer ransomware Verschlüsselung können verschlüsselte Dateien aus Offline-Backups wiederhergestellt werden, um Ausfallzeiten zu minimieren und Datenverluste zu vermeiden.

Historischer Kontext: Die Rolle der Lazarus-Gruppe bei WannaCry

Es ist wichtig zu wissen, dass WannaCry kein gewöhnlicher ransomware Angriff war. Die malware war mit der Lazarus-Gruppein Verbindung gebracht, einer staatlich geförderten Hackergruppe, die für ausgeklügelte Angriffe bekannt ist. Diese Gruppe, von der man annimmt, dass sie mit Nordkorea in Verbindung steht, war an zahlreichen Cyberangriffen beteiligt, darunter auf Finanzinstitute, Medienunternehmen und kritische Infrastrukturen. Die schnelle Ausbreitung von WannaCry und die damit verbundenen politischen Implikationen machen deutlich, dass Cyber-Bedrohungen immer komplexer werden.

Vorbereitung auf die nächste Welle von Ransomware und Advanced Persistent Threats (APTs)

Da sich ransomware ständig weiterentwickelt, müssen Unternehmen auf neue Taktiken und Exploits vorbereitet sein, aber die Verhaltensweisen - Auskundschaften, seitliche Bewegungen, Replikation und Verschlüsselung - bleibengleich. Durch die Konzentration auf die Erkennung von Verhaltensweisen in Echtzeit können sich Sicherheitsteams proaktiv gegen neue Bedrohungen verteidigen, selbst wenn Angreifer ihre Methoden und Tools ändern.

Vectra AI hat es sich zur Aufgabe gemacht, Unternehmen dabei zu helfen, ausgefeilten Bedrohungen wie WannaCry und solchen, die von Advanced Persistent Threat (APT)- Gruppen ausgeführt werden, einen Schritt voraus zu sein. Um Ihr Verständnis für diese sich entwickelnden Bedrohungen zu vertiefen, lesen Sie unsere detaillierten Seiten über ransomware Gruppen und APT-Akteure, einschließlich:

Jede Seite bietet Einblicke in die Taktiken, Techniken und Verfahren (TTPs) dieser Bedrohungsakteure und hilft Ihnen, eine widerstandsfähigere Verteidigung aufzubauen.

Was kommt als Nächstes auf Sie zu?
Mit Vectra AI sind Sie in der Lage, komplexe Angriffe zu erkennen und zu stoppen, bevor sie eskalieren. Kontaktieren Sie Ihren Vectra-Vertreter oder vereinbaren Sie eine Demo um zu erfahren, wie unsere Plattform Ihre Verteidigung gegen ransomware und APTs stärken kann.

Möchten Sie mehr erfahren?

Vectra® ist der führende Anbieter von KI-gesteuerter hybrider cloud Bedrohungserkennung und -bekämpfung. Die Vectra-Plattform und -Dienste decken öffentliche cloud, SaaS-Anwendungen, Identitätssysteme und Netzwerkinfrastrukturen ab - sowohl vor Ort als auch cloud-basiert. Unternehmen auf der ganzen Welt verlassen sich auf die Vectra-Plattform und -Dienste, um sich gegen ransomware, Kompromittierungen der Lieferkette, Identitätsübernahmen und andere Cyberangriffe zu schützen, die ihr Unternehmen betreffen.

Wenn Sie mehr darüber erfahren möchten, setzen Sie sich mit uns in Verbindung und wir zeigen Ihnen genau, wie wir das machen und was Sie tun können, um Ihre Daten zu schützen. Wir können Sie auch mit einem unserer Kunden in Kontakt bringen, um direkt von ihm über seine Erfahrungen mit unserer Lösung zu hören.

Kontaktieren Sie uns