Der globale Ransomware-Angriff und wie Sie Ihre Daten schützen

Ein massiver Cyberangriff hat Computer auf der ganzen Welt getroffen. Die hochvirulente, sich selbst replizierende Ransomware - bekannt als WanaCryptor, Wannacry oder Wcry - hat im vergangenen Monat teilweise einen in die Wildnis freigesetzten Exploit der National Security Agency (NSA) angeeignet. Cybercriminals besitzen CIA-Hacking-Tools: Was diese Mittel für Sie bedeuten Tools: Was bedeutet das für Sie? Die gefährlichste Malware der Central Intelligence Agency, mit der nahezu jede drahtlose Unterhaltungselektronik gehackt werden kann, könnte nun in die Hände von Dieben und Terroristen geraten. Was bedeutet das für Sie? Lesen Sie mehr von einer Hacker-Gruppe, die als The Shadow Brokers bekannt ist.

Nach Angaben der Antiviren-Entwickler Avast soll die Ransomware mindestens 100.000 Computer infiziert haben. Der massive Angriff zielte hauptsächlich auf Russland, die Ukraine und Taiwan ab, breitete sich jedoch auf mindestens 99 andere Länder aus. Abgesehen von der Forderung nach einem Preis von 300 US-Dollar (rund 0,17 Bitcoin zum Zeitpunkt des Schreibens) ist die Infektion auch für ihren mehrsprachigen Ansatz zur Sicherung des Lösegelds bemerkenswert: Die Malware unterstützt mehr als zwei Dutzend Sprachen.

Was ist los?

WanaCryptor verursacht massive, fast nie da gewesene Störungen. Die Ransomware wirkt sich auf Banken, Krankenhäuser, Telekommunikation, Energieversorger und andere unternehmenskritische Infrastruktur aus. Wenn Regierungen angreifen: Nation-State-Malware aufgedeckt Bei Regierung-Attacke: Nation-State-Malware aufgedeckt Ein Cyberwar findet gerade statt, versteckt durch das Internet. seine Ergebnisse wurden selten beobachtet. Aber wer sind die Akteure in diesem Kriegsschauplatz und welche Waffen haben sie? Weiterlesen .

Allein in den Vereinigten Königreichs erklärten mindestens 40 NHS (National Health Service) Trusts Notfälle, die die Absage wichtiger Operationen erzwingen, die Patientensicherheit untergraben und fast sicher zu Todesfällen führen.

Die Polizei befindet sich im Southport Hospital. Die Krankenwagen werden bei A & E "unterstützt", da sich die Mitarbeiter mit der anhaltenden Hacker-Krise #NHS pic.twitter.com/Oz25Gt09ft auseinandersetzen

- Ollie Cowan (@Ollie_Cowan) 12. Mai 2017

WanaCryptor erschien erstmals im Februar 2017. Die ursprüngliche Version der Ransomware änderte die betroffenen Dateierweiterungen in “.WNCRY” sowie das Markieren jeder Datei mit der Zeichenfolge “WANACRY!”

WanaCryptor 2.0 verbreitet sich schnell zwischen Computern und nutzt dabei einen Exploit, der mit der Equation Group verbunden ist, einem Hacking-Kollektiv, das eng mit der NSA verbunden ist (und nach eigenen Angaben das interne Unternehmen sein soll) “schmutzig” Hacking-Einheit). Der renommierte Sicherheitsforscher Kafeine bestätigte, dass der als ETERNALBLUE oder MS17-010 bekannte Exploit wahrscheinlich in der aktualisierten Version enthalten war.

WannaCry / WanaCrypt0r 2.0 löst in der Tat die ET-Regel aus: 2024218 "ET EXPLOIT Mögliche ETERNALBLUE MS17-010 Echoantwort" pic.twitter.com/ynahjWxTIA

- Kafeine (@kafeine) 12. Mai 2017

Mehrere Exploits

Dieser Ransomware-Ausbruch unterscheidet sich von dem, was Sie vielleicht schon gesehen haben (und ich hoffe, nicht erlebt). WanaCryptor 2.0 kombiniert den durchgesickerten SMB-Angriff (Server Message Block, ein Protokoll für die gemeinsame Nutzung von Dateien in einem Windows-Netzwerk) mit einer sich selbst replizierenden Nutzlast, wodurch sich die Ransomware von einem anfälligen Computer auf den nächsten ausbreiten kann. Dieser Lösegeld-Wurm verhindert die übliche Methode der Ransomware-Zustellung einer infizierten E-Mail, eines Links oder einer anderen Aktion.

Adam Kujawa, Forscher in Malwarebytes, sagte gegenüber Ars Technica “Der anfängliche Infektionsvektor ist etwas, das wir immer noch herausfinden wollen… Da dieser Angriff als Ziel betrachtet wird, liegt dies entweder an einer Sicherheitsanfälligkeit in der Netzwerkabwehr oder an einem sehr gut konstruierten Spear-Phishing-Angriff. Unabhängig davon verbreitet es sich durch infizierte Netzwerke mit der EternalBlue-Schwachstelle und infiziert weitere nicht gepatchte Systeme.”

WanaCryptor nutzt DOUBLEPULSAR, einen weiteren durchgesickerten NSA-Exploit. CIA Hacking & Vault 7: Ihr Leitfaden für das neueste WikiLeaks-Release CIA Hacking & Vault 7: Ihr Leitfaden für das neueste WikiLeaks-Release Alle sprechen wieder über WikiLeaks - wieder alle! Aber die CIA schaut Sie nicht wirklich über Ihr Smart TV an, oder? Sicher sind die durchgesickerten Dokumente Fälschungen? Oder vielleicht ist es komplizierter. Weiterlesen . Hierbei handelt es sich um eine Hintertür, mit der bösartiger Code remote eingespielt und ausgeführt werden kann. Die Infektion sucht nach Hosts, die zuvor mit der Hintertür infiziert waren, und verwendet die vorhandene Funktionalität zur Installation von WanaCryptor. In Fällen, in denen das Hostsystem keine DOUBLEPULSAR-Hintertür hat, wird die Malware wieder auf den ETERNALBLUE SMB-Exploit zurückgesetzt.

Kritisches Sicherheitsupdate

Das massive Leck von NSA-Hacking-Tools sorgte weltweit für Schlagzeilen. Es gibt sofortige und eindeutige Beweise dafür, dass die NSA unveröffentlichte Zero-Day-Exploits für den eigenen Gebrauch sammelt und speichert. Dies stellt ein enormes Sicherheitsrisiko dar. 5 Möglichkeiten, sich vor einem Zero-Day-Angriff zu schützen 5 Möglichkeiten, sich vor einem Zero-Day-Angriff zu schützen Zero-Day-Angriffe, Software-Sicherheitsanfälligkeiten, die von Hackern ausgenutzt werden, bevor ein Patch verfügbar wird, sind echt Bedrohung für Ihre Daten und Ihre Privatsphäre. So können Sie Hacker fernhalten. Lesen Sie mehr, wie wir jetzt gesehen haben.

Zufällig hat Microsoft den Eternalblue-Exploit im März gepatcht, bevor der massive Waffen-Exploit-Fund von Shadow Brokers Schlagzeilen machte. Angesichts der Art des Angriffs, der bekannt ist, dass dieser bestimmte Exploit im Spiel ist, und der raschen Natur der Infektion, scheint es, dass eine große Anzahl von Organisationen das kritische Update nicht installiert hat Warum Sie diesen Sicherheitspatch installieren müssen Lesen Sie mehr - mehr als zwei Monate nach seiner Veröffentlichung.

Letztendlich werden betroffene Organisationen das Schuldspiel spielen wollen. Aber wohin soll der Finger zeigen? In diesem Fall gibt es genug Schuld, um sich auszutauschen: Die NSA für die Lagerung gefährlicher Zero-Day-Exploits Was ist eine Zero Day-Sicherheitsanfälligkeit? [MakeUseOf erklärt] Was ist eine Sicherheitsanfälligkeit durch Zero Day? [MakeUseOf erklärt] Lesen Sie mehr, die Übeltäter, die WanaCryptor mit den durchgesickerten Exploits aktualisiert haben, die zahlreichen Organisationen, die ein kritisches Sicherheitsupdate ignoriert haben, und weitere Organisationen, die weiterhin Windows XP verwenden.

Möglicherweise sind Menschen gestorben, weil Organisationen die Aufrüstung ihres primären Betriebssystems als verblüffend empfanden.

Microsoft hat sofort ein kritisches Sicherheitsupdate für Windows Server 2003, Windows 8 und Windows XP veröffentlicht.

Microsoft veröffentlicht den #WannaCrypt-Schutz für Produkte außerhalb des Supports Windows XP, Windows 8 und Windows Server 2003: https://t.co/ZgINDXAdCj

- Microsoft (@Microsoft) 13. Mai 2017

Bin ich gefährdet??

WanaCryptor 2.0 verbreitete sich wie ein Lauffeuer. In gewissem Sinne hatten die Menschen außerhalb der Sicherheitsbranche die schnelle Verbreitung eines Wurms vergessen, und die Panik könnte dies verursachen. In diesem Zeitalter mit Hyper-Verbindung und in Kombination mit Crypto-Ransomware waren die Malware-Anbieter ein furchterregender Gewinner.

Bist du in Gefahr? Glücklicherweise fand der MalwareTechBlog, bevor die Vereinigten Staaten aufwachten und ihren Computertag begannen, einen im Malware-Code versteckten Kill-Switch, der die Ausbreitung der Infektion einschränkte.

Der Kill-Switch betraf einen sehr langen, unsinnigen Domainnamen - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com -, zu dem die Malware eine Anfrage stellt.

Daher kann ich meinem Lebenslauf nur hinzufügen, dass ein internationaler Cyberangriff versehentlich gestoppt wurde. ^^

- ScarewareTech (@MalwareTechBlog) 13. Mai 2017

Wenn die Anfrage live zurückkommt (d. H. Die Anfrage akzeptiert), infiziert die Malware den Computer nicht. Leider hilft das niemandem, der bereits infiziert ist. Der Sicherheitsforscher hinter MalwareTechBlog registrierte die Adresse, um neue Infektionen über ihre Anfragen zu verfolgen, ohne zu wissen, dass es sich um den Not-Aus-Schalter handelt.

#WannaCry-Ausbreitungs-Payload enthält eine zuvor nicht registrierte Domäne. Die Ausführung schlägt fehl, sobald die Domäne verloren gegangen ist. Pic.twitter.com/z2ClEnZAD2

- Darien Huss (@darienhuss) 12. Mai 2017

Leider gibt es die Möglichkeit, dass andere Varianten der Ransomware existieren, jede mit einem eigenen Kill-Schalter (oder gar nicht)..

Die Sicherheitsanfälligkeit kann auch durch Deaktivieren von SMBv1 verringert werden. Microsoft bietet ein ausführliches Lernprogramm für Windows und Windows Server. Unter Windows 10 kann dies schnell durch Drücken von erreicht werden Windows-Taste + X, auswählen PowerShell (Admin), und folgenden Code einfügen:

Disable-WindowsOptionalFeature -Online -FeatureName smb1protokoll

SMB1 ist ein altes Protokoll. Neuere Versionen sind nicht anfällig für die WanaCryptor 2.0-Variante.

Wenn Ihr System normal aktualisiert wurde, sind Sie auch unwahrscheinlich um die direkten Auswirkungen dieser bestimmten Infektion zu spüren. Das heißt, wenn Sie einen NHS-Termin stornieren lassen, die Banküberweisung schief gelaufen ist oder ein wichtiges Paket nicht eingetroffen ist, sind Sie trotzdem betroffen.

Um es klarzustellen: Ein gepatchter Exploit erledigt diese Aufgabe nicht immer. Conficker, jeder?

Was passiert als nächstes?

In den Vereinigten Staaten wurde WanaCryptor 2.0 anfangs als direkter Angriff auf den NHS beschrieben. Dies wurde abgezinst. Das Problem bleibt jedoch, dass Hunderttausende von Einzelpersonen durch Malware direkt gestört wurden.

Die Malware weist Kennzeichen eines Angriffs mit drastisch unbeabsichtigten Folgen auf. Der Cybersecurity-Experte Dr. Afzal Ashraf sagte der BBC “Sie griffen wahrscheinlich eine kleine Firma an, in der Annahme, dass sie eine kleine Summe Geld bekommen würden, aber sie ist in das NHS-System gelangt und jetzt haben sie die volle Macht des Staates gegen sie - weil die Regierung es sich offensichtlich nicht leisten kann, dass so etwas passiert und erfolgreich sein.”

Es ist natürlich nicht nur der NHS. In Spanien, El Mundo Berichten zufolge waren 85 Prozent der Computer bei Telefonica von dem Wurm betroffen. Fedex bestätigte, dass sie ebenso betroffen waren wie Portugal Telecom und das russische MegaFon. Und das ohne die großen Infrastrukturanbieter zu berücksichtigen.

Zwei Bitcoin-Adressen (hier und hier), die zum Erhalt von Lösegeldern erstellt wurden, enthalten jetzt zusammen 9,21 BTC (zum Zeitpunkt des Schreibens rund 16.000 USD) aus 42 Transaktionen. Das sagte und bestätigte die “unbeabsichtigte Konsequenzen” Theoretisch ist das Fehlen einer Systemidentifikation bei den Bitcoin-Zahlungen.

Vielleicht fehlt mir etwas. Wenn so viele Wcry-Opfer dieselbe Bitcoin-Adresse haben, wie können die Entwickler dann feststellen, wer bezahlt hat? Manche Sachen ??.

- BleepingComputer (@BleepinComputer) 12. Mai 2017

Was passiert als nächstes? Der Bereinigungsprozess beginnt, und die betroffenen Organisationen zählen ihre Verluste, sowohl finanziell als auch datenbasiert. Betroffene Unternehmen werden sich außerdem eingehend mit ihren Sicherheitspraktiken befassen und, wie ich wirklich hoffe, die Aktualisierung vornehmen und das veraltete und jetzt gefährliche Windows XP-Betriebssystem zurücklassen.

Wir hoffen.

Waren Sie direkt von WanaCryptor 2.0 betroffen? Haben Sie Daten verloren oder wurde ein Termin abgesagt? Denken Sie, dass die Regierungen eine kritische Infrastruktur für die Aktualisierung erzwingen sollten? Teilen Sie uns unten Ihre WanaCryptor 2.0-Erfahrungen mit und teilen Sie uns mit, wenn wir Ihnen geholfen haben.

Bildnachweis: Alles was ich über Shutterstock.com mache

Erfahren Sie mehr über: Hacking, Ransomware.