:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/65/4d659da289f5aca04c24cbb2ef2fd540/0111240624.jpeg "Der Blick von außen auf die eigenen IT-Ressourcen geht über das hinaus, was im Schwachstellenmanagement sichtbar ist. (Bild: rufous - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/60/a8/60a85b048367a1658787275099d1d11c/0111864407.jpeg "ISX-Keynote-Sprecher Dr. Siegfried Rasthofer ist ein IT-Sicherheitsexperte mit langjähriger Erfahrung in den Bereichen Software-Exploitation, Secure Software Engineering, Reverse Engineering, Malware-Analyse, Offensive Security und Threat Intelligence. (Bild: www.rasthofer.info)")
:quality(80)/p7i.vogel.de/wcms/c2/4f/c24fa71856579436103293b63bbd631a/0112178358.jpeg "Die Kommunikationsschnittstelle MOVEit war kompromittiert. Die AOK hat deswegen die Verbindung vorläufig getrennt. Auch Verbraucherdaten waren möglicherweise offen zugänglich. (© Sven Krautwald - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/a4/b4a406fca20011692876d63ea87b8554/0111848384.jpeg "Mit Blockierlisten und Geo-IP-Filtern für Firewalls lassen sich viele Angriffe ganz einfach automatisch abwehren. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/f4/f9/f4f9e3c1460bf363f97d92be0d5a4b7a/0111847742.jpeg "Kriminelle suchen generell nach den schwächsten Zielen. Es nützt also wenig, wenn das TK-Unternehmen bestens aufgestellt ist, Cyberkriminelle aber über junge Zielgruppen, Endgeräte hacken. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/c6/b3c641a4d3910d7e2aecfe566eacc8ef/0111572419.jpeg "Durch Cyberversicherungen versuchen viele Unternehmen das Geschäftsrisiko digitaler Bedrohungen abzufedern – doch Konditionen und Anforderungen steigen. (Bild: VideoFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/27/bc276af26a560cace6721af0a0e60fab/0111322090.jpeg "Observability erweitert und ergänzt das klassische Monitoring um Bigdata und KI – und erlaubt somit einen umfassend datengestützen Blick auf Detailfragen. (Bild: © lexiconimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/2b/2b2b99a6d3d8e6ea3cc8f88382fb19fb/0111189707.jpeg "Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Update: NSA Exploit sorgt für weltweite Attacke WannaCry Ransomware infiziert tausende Systeme
Die Ransomware WannaCrypt0r hat weltweit tausende Systeme infiziert. Geholfen hat ein NSA-Exploit sowie eine längst gepatchte Schwachstelle in Windows SMB. Neben privaten Systemen waren Unternehmen, Krankenhäuser und die Deutsche Bahn durch den Trojaner betroffen. Neueste Informationen deuten auf weitere Varianten der Malware hin.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Kurz vor dem Wochenende schlug weltweit ein Ransomware-Trojaner namens WannaCrypt0r bzw WannaCry zu. Die Sicherheitsbehörde Europol zählt mehr als 200.000 Opfer in mehr als 150 Ländern. Die einzig gute Nachricht: WannaCry war scheinbar keine gezielte Attacke auf einzelne Systeme, sondern „nur“ ein extrem erfolgreicher und weitreichender Angriff. Betroffen waren Unternehmen, Krankenhäuser, Privatpersonen. Hierzulande erwischte es unter anderem die Deutsche Bahn.
Oh oh, das sieht aus wie #Ransomware @DB_Bahn pic.twitter.com/soXkGyMXhe
— Raphael Henkel (@RaphaelHenkel) 12. Mai 2017
So arbeitet WannaCry
Die Malware infiziert ihre Opfer über ein Link oder eine PDF-Datei, die zu einer HTA-Datei führt. Diese HTA-Datei wiederum lädt die eigentlichen Verschlüsselungsfunktionen nach. Für den Angriff nutzt die Ransomware aller Wahrscheinlichkeit die Lücke MS17-010, eine Schwachstelle in Windows SMB – diese wurde bereits im März geschlossen. Besonders kritisch ist, dass ein passendes Exploit namens ETERNALBLUE für diese Lücke in den NSA-Datenleaks der Shadowbroker enthalten war.
:quality(80)/images.vogel.de/vogelonline/bdb/1222900/1222917/original.jpg "Die Exploits und Hacking-Werkzeuge aus dem letzten NSA-Leak werden aktiv genutzt. Tausende Computer sind dank dieser Tools in den Händen von Kriminellen. (Pixabay)")
Leaks der Shadow Broker
Tausende Computer durch NSA-Hackertools infiziert
Nach der Infektion sucht WannaCry nach insgesamt 179 Dateitypen. Dazu gehören:
- Office-Dateien wie .doc, .docx, .xls, .xlsx oder .ppt und .pptx.
- Archive und Media-Dateien wie .zip, .rar, .tar, .bz2, .mp4, .mkv
- E-Mails und -Datenbanken wie .eml, .msg, .ost, .pst, .edb
- Datenbanken, darunter .sqlite3, .sql, .accdb, .mdb, .dbf, .odb, .myd
- Dateien von Programmiersprachen wie .php, .java, .cpp, .pas, .asm
- Verschlüsselungsinformationen wie .key, .pfx, .pem, .p12, .csr, .gpg, .aes
- Daten von professionellen Grafikprogrammen wie .vsd, .odg, .raw, .nef, .svg, .psd
- Daten virtueller Maschinen, darunter .vmx, .vmdk, .vdi
Eine komplette Liste gibt es in dieser sehr guten Analyse der Malware von Comae Technologies. WannaCry zeigt anschließend Informationen zur Verschlüsselung und Erpressung an. Die Kriminellen haben zahlreiche Sprachen integriert. Eine Entschlüsselung gibt es aktuell noch nicht.
Sicherheitslücke seit März gepatcht
Wer hat Schuld an diesem massiven digitalen Angriff? Allein die Schuld auf Microsoft zu schieben wäre zu einfach. Nicht nur hat das Unternehmen die Schwachstelle bereits im März gepatcht – entsprechend haben Nutzer ungesicherter Systeme zumindest eine Mitschuld. Ziel waren zudem auch Systeme, deren offizieller Support längst ausgelaufen, die aber immer noch im aktiven Einsatz sind. Nach der Attacke hat Microsoft daher außerplanmäßige Patches für Windows XP, Windows 8 und Windows Server 2003 veröffentlicht.
Parallel sind auch die Geheimdienste wie die NSA mitverantwortlich. Nur durch die geleakten Exploits konnte WannaCry so erfolgreich sein – das sind Sicherheitslücken, die längst an die Hersteller gemeldet hätten werden können.
Zufällig erfolgreiche Ransomware
Die gute Nachricht: WannaCry war scheinbar keine gezielte Attacke, die Kriminellen waren eher zufällig so erfolgreich. Dafür spricht etwa die verlangte Summe. Lediglich 300 Dollar in Bitcoin sollten für die Entschlüsselung anfallen. Ransomware, die es auf große Unternehmen abgesehen hat, verlangt oft mehr.
Zudem konnte MalwareTech, ein Blogger und Malware-Experte die Ausbreitung schnell nachvollziehen, die genutzte Schwachstelle identifizieren und WannaCry stoppen. Er selbst nennt seine Lösung „Zufall“, ihm half aber offensichtlich sein gutes Netzwerk und seine Erfahrung. MalwareTech und Darien Huss spürten einen Kill Switch in der Malware auf und konnten die Ausbreitung stoppen.
I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.
— MalwareTech (@MalwareTechBlog) 13. Mai 2017
Damit ist die Gefahr allerdings nicht gebannt. Eine neue Version von WannaCry könnte diesen Kill Switch nicht mehr enthalten. Sicher ist nur, wer die Updates einspielt und die Schwachstelle schließt.
Warten auf die nächste Attacke
WannaCry reiht sich in die die lange Reihe von Malware, die mit öffentlich verfügbaren Methoden großflächig für Schaden sorgt. Wie Mirai stellt das die Sicherheitsverantwortlichen vor neue Herausforderungen. Die notwendigen Informationen für diese Attacken schwirren weiter im Web herum, mit jedem Leak haben mehr Kriminelle und gelangweilte Entwickler Zugriff auf hochgradig gefährliche Exploit und Attacken.
Es bleibt zu hoffen, dass WannaCry ein Weckruf für IT-Verantwortliche und Gesetzgeber ist. Bekannte Sicherheitslücken, für die Updates verfügbar sind, müssen schnellstmöglich geschlossen werden. Es kann nicht sein, dass Exploits monatelang, ja jahrelang verwundbare Systeme finden können. Das gilt nicht nur für Windows-PCs oder Server. Sondern auch für industrielle Kontrollsysteme, Smartphones und Smart-Home-Geräte. Die Politik muss die Hersteller stärker in die Pflicht nehmen – wer nur hinter den Angreifern her ist, wird keine Attacken verhindern.
Update vom 15.05.2017 14:30 Uhr: Weitere WannaCry-Varianten
Inzwischen mehren sich die Anzeichen, dass es weitere Varianten der WannaCry-Ransomware gibt, teils mit anderen Kill-Switch-Domains, teils angeblich sogar ohne Kill Switch. Eine zweite Angriffswelle auf die durch den EternalBlue-Exploit verwundbaren Systeme scheint also jederzeit möglich.
Since registering the 2nd killswitch yesterday, we stopped ~10K machines from spreading further - mainly from Russia. #WannaCry #OKLM pic.twitter.com/eQziRoq8UN
— Matthieu Suiche (@msuiche) 15. Mai 2017
(ID:44691562)
:quality(80)/images.vogel.de/vogelonline/bdb/1942500/1942508/original.jpg "Der Mensch als Schwachstelle: Phishing-Angriffe nutzen die Uninformiertheit, Unkonzentriertheit und Naivität der User aus. (danijelala - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1929500/1929511/original.jpg "Zum Valentinstag sprechen wir über Liebesgrüße von der Cyber Kill Chain. (Vogel IT-Medien)")