Lehren aus WannaCry und Petya



  • Bereits kurz nach dem Ausbruch der Malware WannaCry tauchte mit Petya/NotPetya der nächste Schädling auf, der noch größeres Schadenspotential aufwies und offenbar dieselbe Sicherheitslücke nutze, die schon WannaCry den Zugriff auf Tausende von Rechnern ermöglichte. Unternehmen haben anscheinend aus dem ersten Vorfall nichts gelernt.

    Klicken sie hier um den Artikel zu lesen



  • Der Artikel enthält leider bereits in den ersten vier Absätzen so viele Fehler und Falschdarstellungen, das man ihn ab dort einfach nicht mehr weiterlesen sollte. Hier wird mit Malware-Namen um sich geschmissen um möglichst große Aufmerksamkeit zu generieren - inhaltlich kann der Artikel dann allerdings nicht mithalten. Werde de-abonnieren.



  • Dieser Aussage möchte ich, auch wenn ich nicht Autor des Textes bin, vehement widersprechen. Aber Sie haben sicher auch Belege für Ihre Aussage?



  • Nach dem Durchlesen und gegeprüfen der Fakten im Netz kann ich mich der Auffassungs, des nicht regstrierten Users nicht anschließen. spannend finde ich das unbekannte Hitachi Produkt mit dem Namen HCP, das werden wir uns mal näher anschauen.Daumen hoch für Autor und RedakteurJochen Schneider



  • Lieber Herr Krebs,

    ich stimme Ihnen vollumfänglich zu, muss Ihnen aber beim Tenor des letzten Absatzes leider widersprechen. NotPetya hat gezeigt, dass auch die Zahlung keine Lösung ist, im Gegenteil. Jede Zahlung ist eine weitere Motivation für solche Angriffe.

    Backup/Restore ist aber nur das Pflaster, wir brauchen die Impfung. Verhindern von solchen Angriffen und deren Ausbreitung muss das Ziel sein. Patient Zero wird nie vollständig zu verhindern sein, aber eine weitere Ausbreitung danach muss erkannt und unterbunden werden, und das geschieht bitte in Nahe-Echtzeit.

    Es ist in zwei Blickwinkeln schade, dass wir diese Diskussion überhaupt führen müssen:

    1. Datensicherung, ob als klassisches Backup oder HCP sollte seeehr lange schon eine ungefragte Selbstverständlichkeit sein. Wer die nicht betreibt und so, dass sie nicht kompromittiert werden kann, dem ist absolut nicht zu helfen.

    2. Sich nur auf traditionelle präventive Maßnahmen zu verlassen ist heute einfach nicht mehr genug. Nein, eine Firewall alleine ist nicht ausreichend, auch wenn dies immer mal wieder anklingt. Es bedarf hier besserer Maßnahmen zur Erkennung in der zweiten Reihe, denn irgendwas kommt immer durch und das muss schnell erkannt und eingedämmt werden. Einfach mal bei Fidelis Cybersecurity vorbeischauen.

    Aber, Herr Krebs, es ist schön, dass wir das hier diskutieren können und das Thema wenigstens mittlerweile auch die GF Ebene erreicht hat, dank WannaCry u.ä. Hatte so wenigstens das eine Gute.

    ​Herzliche Grüße



  • Wie aber verbreiten sich den WannaCry und ähnliche initial? Doch wieder über E-Mail-Anhänge, oder nicht?



  • Hallo Herr Stephan,

    im Prinzip Jein… Sozusagen. Da muss mal erheblich spezifischer werden, denn es gibt zig Einfallstore für Schadcode, das muss nicht mal nur Ransomware sein.

    Im Kern geht es immer nach dem selben Muster ab: Initiale Kompromittierung (Mail (Anhänge oder Links), Drive-by, Downloads über Banner, etc.), gefolgt von Bildung eines Brückenkopfes und lateraler Ausbreitung. Das sind alles unterschiedliche Abläufe und Schritte, die man nicht über einen Kamm scheren kann.

    NotPetya wurde mit hoher Sicherheit über die kompromittierte Update Routine einer Steuersoftware a la ELSTER in der Ukraine initial in die Unternehmen gebracht und nicht per Mail. Andere wie WannaCry kamen per Mail rein. Aber im Endeffekt geht es immer darum Sicherheit ganzheitlich zu betrachten.

    Wenn Sie sich nur Web und Mail als Angriffsvektoren anschauen, sind sie auf den meisten Augen schlicht blind. Es müssen alle Ports und alle Protokolle in Echtzeit überwacht werden und es muss sichergestellt sein, dass auch eine Überwachung weit über AV Funktionalität am Endpunkt geboten ist. Ich helfe Ihnen gerne mit weiteren Informationen dazu, möchte diesen Kommentar aber nicht übermäßig werblich nutzen.

    Schauen Sie einfach mal auf meinem LinkedIn Profil nach, da stehen etliche Artikel zu dem Thema und wenn Sie dann mehr wissen wollen, schreiben Sie mich einfach an.

    Herzliche Grüße



  • Das ist schwer zu sagen. Bei WannaCry wurde meines Wissens nach nie eine initiale Mail mit der Malware selbst entdeckt, vermutete Spam-Mails hatten sich im Nachhinein als eine andere Malware herausgestellt. Die Malware verbreitet sich durch ihre Wurm-Eigenschaften eigenständig innerhalb eines lokalen Netzwerks und versucht bei jeder Infektion außerdem eine zufällige IP-Adresse im Internet. Findet sie ein System mit offenem SMB-Port und verwundbarem SMBv1 infiziert die Malware das System und so weiter…Es ist aber so oder so bei Malware wichtig ein paar Dinge zu bedenken:Eine gut gemachte Phishing-E-Mail die eine bestimmte Firma oder eine bestimmte Branche zum Ziel hat, ist nie zu 100% zu erkennen. Die Zeiten von schlechter Grammatik und Rechtschreibfehlern oder ähnlichem sind längst vorbei.Anwender die Attachments öffnen sind nicht „dumm“. Es gibt Abteilungen die müssen nunmal im täglichen Betrieb auch mit E-Mails mit Attachments umgehen. Personalabteilung, Buchhaltung, Vertrieb, die Wahrscheinlichkeit, dass man bei einer (siehe 1.) gut gemachten Phishing E-Mail das PDF oder die Excel-Datei öffnet ist extrem hoch, nicht aus Dummheit, sondern weil es Teil der täglichen Arbeit ist.Schon der Besuch einer Webseite kann ausreichen, dass man durch einen Drive-by-Download unbemerkt durch Malware infiziert wird.



  • Hallo Herr Keizers,

    dass die Aufmerksamkeit auf viele Punkte gerichtet werden muss, ist schon klar. Mir ging es jetzt speziell um Wanna Cry. Und damit ist die Feststellung im Artikel "Die Ransomware „WannaCry“ hat sich nicht durch unachtsame Personen verbreitet,", schon widerlegt.
    Ja, es ist wichtig die Einfallstor zu überwachen, aber es ist auch wichtig, die Anwender zu schulen.



  • Hallo Herr Stephan, die Aussage "Die Ransomware „WannaCry“ hat sich nicht durch unachtsame Personen verbreitet" ist eine durch mich als Redakteur durchgeführte Konkretisierung einer Aussage des Autors gewesen. Ich kann nur nochmal wiederholen, es gibt meines Wissens nach keinen Beweis dafür, dass es bei Wannacry irgend einen anderen Infektionsvektor gab, als die SMB-Schwachstelle und ich stütze mich dabei auf Gespräche mit Sicherheitsexperten die aktiv an der Aufklärung des Vorfalls im Mai mitgearbeitet haben.

    Ich lade Sie gerne dazu ein, mir diesen Beweis zu liefern, da wäre sicher nicht nur ich, sondern auch die ganze restliche Security-Community sehr daran interessiert !Es wäre dennoch schön, wenn Sie Aussagen nicht einfach pauschal als Falsch hinstellen würden, nur weil das in Ihrer Vorstellungswelt so sein muss.



  • Hallo Herr Stephan,

    wie immer im Leben ist es keine Frage von schwarz oder weiß, da gebe ich Ihnen Recht. Anwender zu schulen ist immer eine gute und wichtige Maßnahme, aber alleine damit ist kein Schutz gewährleistet, denken Sie mal an die GoldenEye Kampagne. Die war schlicht perfekt und nur schwer durch Schulung zu verhindern.

    Die Mischung macht also den Kuchen. Anwender und Technologie, beides zusammen führt zum Erfolg

    Grüße

    Oliver Keizers



  • Hallo Herr Schmitz,

    ich habe nur Fragen gestellt, aber keine Behauptungen, für die ich eine Beweisführung anzutreten habe. Bevor eine Malware sich in einem LAN verbreiten kann, muss sie erst einmal dort hinein gelangen. Darum geht es mir. Offensichtlich ist das in diesem Fall wohl nicht zu ermitteln.

    Es gibt keinen 100%igen Schutz das steht doch völlig ausser Frage. Es geht doch nur darum, die Gefahrenquellen zu minimieren.



  • Hallo Herr Keizers,
    mit dem Punkt zahlen oder nicht haben sicherlich eine weitere Facette getroffen.
    Ich sehe das exakt so wie Sie: Zahlen unterstützt weitere Angriffe, dennoch hat sich gezeigt, daß Unternehmen in einer solch fatalen Situationen nach dem "letzten Strohhalm" greifen, wohlwissend, daß die Ursachen im eigenen RZ liegen.
    Diese Art der Angriffe sollte als Chance von den Unternehmen genutzt werden gezielt zu handeln.

    Gruss
    JAK


Log in to reply