WannaCry-Attacken: Verantwortung übernehmen statt Schuld zuweisen

Die Weisheit „Der Krug geht so lange zum Brunnen, bis er bricht.“ hat mit den Vorfällen vom 12. Mai 2017 nun ihre für alle wahrnehmbare digitale Entsprechung gefunden

[datensicherheit.de, 16.05.2017] Dieser Vorfall, so BSI-Präsident Arne Schönbohm, zeige, „dass das IT-Sicherheitsniveau in Deutschland sehr unterschiedlich ist. Während Teile der Wirtschaft gut aufgestellt sind, gibt es in anderen Teilen Nachholbedarf“. „WannaCry“ sei erneuter und eindringlicher „Weckruf, mehr in die IT-Sicherheit zu investieren“. Im internationalen Vergleich liege Deutschland in Bezug auf die Betroffenheit durch „WannaCry“ nur auf Platz 13. Schönbohm: „Die zahlreichen Initiativen und Maßnahmen, die das BSI als nationale Cyber-Sicherheitsbehörde auch gemeinsam mit der Wirtschaft in den letzten Jahren durchgeführt hat, tragen hier Früchte. Dennoch können wir keine Entwarnung geben.“ Diese Ransomware sei nach wie vor im Umlauf und verbreite sich auch in Deutschland. Das BSI geht nach eigenen Angaben davon aus, dass die Täter und Trittbrettfahrer immer neue Varianten in Umlauf bringen. Wichtigste Schutzmaßnahme sei es, das bereits seit Monaten verfügbare Sicherheitsupdate von Microsoft einzuspielen. Zudem sollten aktuelle Virenschutz-Lösungen eingesetzt werden. „Betroffene Unternehmen rufen wir auf, sich über die etablierten Meldekanäle vertraulich an das BSI zu wenden. In keinem Fall sollten Betroffene auf die Lösegeldforderungen eingehen“, betont der BSI-Präsident.

Ransomware entsteigt dem DarkNet und verbreitet sich über Open-Source-Software-Kanäle

„Ransomware-Taktiken und -Techniken sowie Prozeduren sind nicht mehr auf das DarkNet beschränkt“, warnt Chris Fearon, „Director of Security Research“ bei Black Duck.
Sie würden zunehmend durch Open-Source-Software-Kanäle zugänglich. Infolgedessen werde die Barriere für die Erstellung von Schadsoftware reduziert. Im Zeitalter von Open-Source-Ransomware sei es zwingend erforderlich, erklärt Fearon, „dass Schwachstellen-Management-Prozesse robust sind und die Software-Supply-Chain sicher ist, um zu verhindern, dass opportunistische Angreifer Business-Funktionen ausnutzen“.

Auch Cyber-Kriminelle patchen – ihre Ransomware

Am 15. Mai 2017 sei eine neue Version der „WannaCry“-Malware identifiziert worden, berichtet Catalin Cosoi, „Chief Security Strategist“ bei Bitdefender. Die hinter dem Angriff stehende Hacker-Gruppe habe die ursprüngliche Malware gepatcht, indem sie wenige Bytes geändert habe, um den die Verbreitung der initialen Welle unterbindenden den „Kill Switch“ zu beseitigen.
„WannaCry 1.0“ und „2.0“ seien nur der Beginn von „EternalBlue“-basierten Bedrohungen. Cosoi: „Wahrscheinlich wird es zunächst einmal schlechter, bevor es dann wieder besser wird.“ So werde uns „WannaCry“ als eine der ernsthaftesten Bedrohungen in den kommenden zwölf Monaten begleiten – außer: „Microsoft entscheidet sich, etwas dagegen zu tun – wie zum Beispiel die Durchführung eines Updates zu erzwingen.“ Das sei bereits in der Vergangenheit gemacht worden und die aktuelle Bedrohung würde es rechtfertigen, es wieder zu tun – auf kontrollierte und koordinierte Art und Weise und mit Unterstützung von Behörden und der Security-Branche. Dies wäre rechtlich in einer Grauzone. Aber uns lehre die Erfahrung, dass bei Cyber-Kriminalität die Gesetzgebung oftmals zu spät komme. Daher sei es jetzt wichtiger als je zuvor, dass Strafverfolgungsbehörden und Security-Hersteller zusammenarbeiteten, fordert Cosoi.
Bekannt als „EternalBlue“, sei die besagte „Windows“-Sicherheitslücke von Microsoft in einem Patch geschlossen worden, den das Unternehmen am 14. März 2017 – als Teil des „Patch Tuesday“ zur Verfügung gestellt habe. „Aber es scheint, dass nicht viele Organisationen diesen Patch tatsächlich in ihren Infrastrukturen implementiert haben“, vermutet Cosoi. Infolgedessen sei es nur eine Frage der Zeit gewesen, bis eine Gruppe von Cyber-Kriminellen die bekanntgewordene Verwundbarkeit „als Waffe“ nutzen würde, um ungepatchte „Windows“-Systeme anzugreifen.

Kliniken machen es Angreifern oft allzu leicht

Roland Stritt, „Director Channels EMEA“ bei Rubrik, geht auf die Frage ein, warum das Gesundheitswesen ein besonders attraktives Ziel für die Cyber-Kriminellen ist:
„Krankenhäuser sind auf einen rund um die Uhr verfügbaren Zugang zu ihren Daten angewiesen. Patientendatensätze, Bilddaten und andere klinische Daten werden heute oft ausschließlich in digitaler Form abgelegt. Hinzu kommen automatisierte Systeme, etwa für die Medikamentengabe, die überlebenskritisch sein können“, so Stritt.
Kriminelle hätten diese „immense Bedeutung von Daten und Geräten“ erkannt und nähmen immer häufiger Kliniken ins Visier. Diese machten es den Angreifern oft allzu leicht – aufgrund veralteter Betriebssysteme mit bekannten Schwachstellen sowie vieler Schlupflöcher, wo klassische IT und medizinische Geräte verknüpft seien. Patientendaten würden zwischen verschiedenen Abteilungen und Standorten übertragen, so dass sich eine Infektion schnell ausbreiten könne.
Wie bei allen Cyber-Bedrohungen könne das Risiko nach Meinung von Rubrik durch eine „Defense-in-depth“-Strategie reduziert werden. Indem die Software auf aktuellem Stand gehalten werde, sinke zumindest die Gefahr einer Infektion durch die Ausnutzung bekannter Schwachstellen. Durch die Nutzung von Virtualisierung oder Containern könnten Software-Updates ohne Betriebsunterbrechungen durchgeführt werden. Idealerweise sollten Systeme mit Zugang zu kritischen Daten nur zu diesem Zweck verwendet werden, was sich mittels einer entsprechenden Sicherheitsrichtlinie durchsetzen lasse. Stritt: „Generell geht es darum, die Angriffsfläche zu reduzieren.“
Dennoch gebe es keinen vollständigen Schutz vor Ransomware. Das Risiko lasse sich aber erheblich minimieren, indem Sicherheit und Datensicherung integriert würden. Es sollten nicht nur Angriffe vereitelt werden, sondern der Zugang zu den Daten selbst bei erfolgreichem Angriff müsse erschwert werden, erläutert Stritt. Für den Fall einer Kompromittierung gelte es, zuverlässige und effektive Sicherungen der kritischen Daten bereitzuhalten. „Mit einer effektiven Backup-Lösung kann Ransomware im Idealfall auf kleinere Unannehmlichkeiten mit minimaler Wirkung auf die Patientenversorgung reduziert werden“, sagt Stritt.

Schon im April 2017 entsprechender Warnhinweis

Das von „WannaCry“ angerichtete Chaos hätte sich durch ein effizientes „Software Vulnerability“-Management sehr leicht vermeiden lassen – integriert in die Unternehmens-IT, identifizierten diese Lösungen Softwareschwachstellen automatisch und stellten den Sicherheitsteams Patches priorisiert nach ihrer Gefährlichkeit zur Verfügung. Unternehmen mit einem solchen automatisierten „Software Vulnerability“-Management liefen keine Gefahr, von Attacken wie „WannaCry“ überrascht zu werden, führt Kasper Lindgaard, „Direktor Secunia Research“ von Flexera Software aus. Diese Lösungen garantierten ein zuverlässiges und frühzeitiges Patchen von Schwachstellen und seien die Grundlage, um Sicherheitsrisiken effizient zu senken.
„Um es ganz offen zu sagen: Wer zwei Monate wartet, um ein wichtiges Microsoft-Patch anzuwenden, macht etwas grundlegend falsch“, unterstreicht Lindgaard. Im Fall von „WannaCry“ habe es bereits im April 2017 einen entsprechenden Warnhinweis gegeben. Für Unternehmen sei dies ein „deutlicher Weckruf“, diese Art von Bedrohungen und Risiken endlich ernst zu nehmen. Lindgaard: „Es gibt hier einfach keine Entschuldigung mehr, dies nicht zu tun.“

KMU brauchen Business-Continuity-Strategie und verlässlichen „Managed Service“-Provider

Andrew Stuart, „Managing Director“ bei Datto, betont die Wichtigkeit eines guten Backups und eines starken Partners, wenn es zu solchen Attacken kommt:
„WannaCry hat schon allein wegen der weiten Verbreitung solche Aufmerksamkeit bekommen. In einer Zeit, in der häufig über gezielte Angriffe gesprochen wird, ist eine solche, weit verbreitete Attacke eher unüblich geworden. Das heißt aber nicht, dass der Angriff nur völlig unkoordiniert in die Breite ging – bemerkenswert ist zum Beispiel der Zeitpunkt.“ So seien erste Ausfälle in Europa am Freitagnachmittag berichtet worden – zu einer Zeit, wenn viele Betriebe bereits nur noch zur Hälfte besetzt seien und sich Mitarbeiter aufs Wochenende vorbereiteten. Gerade für kleine Unternehmen heiße das, „dass dann vielleicht der IT-Support bereits nicht mehr vor Ort ist und man in der allgemeinen Aufregung versucht, sich mühsam selbst zu helfen – ein Unterfangen, das ohne ein gutes Backup eigentlich schon zum Scheitern verurteilt ist.“
Der Angriff habe damit gezeigt, dass gerade für die sogenannten KMU, die zum größten Teil den deutschen Mittelstand ausmachen, zwei Dinge unabdingbar sind: Eine schnelle und effektive Business-Continuity-Strategie und ein starker Partner, mit dem man diese im Notfall umsetzen kann.
Heutige Technik mache es möglich, ein nicht-infiziertes Backup im Bestfall innerhalb von sechs Sekunden wieder auf das System zu spielen, damit größere Ausfälle durch Ransomware-Attacken wie „WannaCry“ verhindert werden könnten. Stuart: „Dabei helfen einem ,Managed Service Provider‘, die entsprechende Lösungen implementieren und die das kleine mittelständische Unternehmen auch an einem Freitagnachmittag nicht im Regen stehen lassen. Dadurch wird etwas, dass heute vielen Firmeninhabern schwere Kopfschmerzen bereitet, zu einer lästigen Störung, die schnell behoben werden kann und gegen die man sich dann mit Hilfe seines IT-Partners absichert.“

Ransomware greift über Phishing oder Social-Engineering-E-Mails an

Es scheine sich bei der am 12. Mai 2017 eingesetzten Malware um eine Variante von „WanaDecryptor“ zu handeln, einer relativ neuen Form von Ransomware, so Phil Richards, CISO von Ivanti. Diese spezielle Ransomware werde von 30 Prozent der AV-Anbieter mit aktuellen Virendefinitionen korrekt identifiziert und blockiert. Sowohl Kaspersky als auch BitDefender gingen korrekt damit um. Aktuell sei kein allgemeiner Schlüssel für die Dekodierung (Crack-Code) verfügbar. Diese Malware verändere Dateien in den Verzeichnissen „/Windows“ und „/windows/system32“ und infiziere weitere Benutzer im Netzwerk. Beide Aktionen erforderten Administratorrechte, weiß Richards.
Die Ransomware greife über Phishing oder Social-Engineering-E-Mails an. Richards rät Betrieben, die Mitarbeiter zu schulen, unbekannte oder bösartige E-Mails zu ignorieren. Sofort sollten die Microsoft-Patches aktualisiert werden, insbesondere „MS17-010“. Richards: „Das wird die Ausbreitung der Ransomware verlangsamen.“ Alle Endpunkte sollten mit effektiver Antivirus-Software ausgestattet werden. Wenn Virendefinitionen aber auch nur eine Woche veraltet sind, wird die AV-Software diese Ransomware nicht erkennen, so seine Warnung.
Richards rät ferner, Administratorrechte zu beschränken und nur die Ausführung von „Whitelist“-Software zu erlauben. Diese Malware wäre nicht so erfolgreich, wenn sie keinen Zugriff auf Admin-Berechtigungen hätte, und wenn sie in der „Whitelist“ mit erlaubter Software nicht aufgelistet ist, könnte sie grundsätzlich nicht laufen.
„WannaCrypt“ sei auch als „Wana Decrypt0r 2.0“, „WanaDecryptor“, „WannaCry“, „WanaCrypt0r“, „Wcrypt“ bzw. „WCRY“ bekannt. Diese Ransomware verwende mehrere Angriffsvektoren: Anfällig seien alle „Windows“-Versionen vor „Windows 10“ ohne das Sicherheitsupdate „MS17-010“ vom März 2017. „Windows XP“ und „Server 2003“ seien besonders anfällig, da bis zum 12. Mai 2017 kein Patch für diese Schwachstelle auf diesen Betriebssystemen verfügbar gewesen sei.

„WannaCry“ als letzte Warnung

„Alte ,Windows‘-Versionen wie ,XP‘ oder ,Vista‘, für die seit längerer Zeit keine weiteren Updates mehr bereitgestellt werden, sind nach wie vor stark verbreitet“, so Peter Meyer, Leiter des Anti-Botnet-Beratungszentrums „Botfrei“ im eco – Verband der Internetwirtschaft e.V.
Regelmäßige Updates und aktuelle Betriebssysteme verhinderten indes Infektionen mit Erpressungstrojanern wie z.B. „WannaCry“. Dennoch nutzten viele Betriebe und Privatpersonen noch PCs mit gravierenden Sicherheitslücken: „Von ,WannaCry‘ sind insbesondere Internetnutzer und Unternehmen betroffen, die es in den letzten acht Wochen versäumt haben, ein entsprechendes Update zu installieren“, sagt Meyer.
„Unternehmen sollte ,WannaCry‘ als letzte Warnung dienen. Wer immer noch nicht verstanden hat, wie wichtig sichere IT-Systeme sind, der gefährdet seine unternehmerische Existenz“, betont Meyer. Die Ransomware „WannaCry“ zeige erneut, wie viele Personen und Unternehmen unsichere Systeme einsetzten: In Großbritannien seien beispielsweise viele Krankenhäuser betroffen, in Deutschland die Deutsche Bahn, in den USA das Logistikunternehmen FedEx und in Spanien das Telekommunikationsunternehmen Telefónica. Mehrere zehntausend Computer in über 100 Ländern hätten sich mit „WannaCry“ infiziert, so Schätzungen von Experten. Europol spreche von einer „Ransomware-Attacke beispiellosen Ausmaßes“; Mikko Hyppönen von F-Secure habe diese sogar als den „größten Ransomware-Ausbruch in der Geschichte“ bezeichnet.

Schlecht gewartete, veraltete und ungesicherte, aber dennoch vernetzte Systeme als Ursache

Auch Dr. Rainer Baumgart, „CEO“ der secunet Security Networks AG, fragt: „Wie viele Weckrufe sind noch erforderlich, damit Unternehmen und Organisationen endlich reagieren und der IT-Sicherheit die erforderliche Beachtung schenken?“ Wieder einmal seien schlecht gewartete, veraltete und ungesicherte, aber dennoch vernetzte Systeme die Ursache für den Erfolg des großflächigen Angriffs. Das derzeitige IT-Sicherheitsniveau erfülle die Ansprüche nur ungenügend, obwohl man insbesondere in Deutschland über vertrauenswürdige IT-Sicherheitstechnologien verfüge.
„,WannaCry‘ ist kein hochkomplexer, gezielter Angriff, sondern eine Erpressungssoftware, die eine längst geschlossene Sicherheitslücke ausnutzt.“ Besonders beunruhigend sei, so Baumgart, dass viele der aktuell betroffenen Systeme zu Betreibern kritischer Infrastrukturen gehörten. Gerade dort sollte das Bewusstsein für IT-Sicherheit geschärft sein und entsprechende Vorkehrungen wie zum Beispiel eine sinnvolle Separierung getroffen werden – „und zwar nicht erst dann, wenn die Betreiber durch die Gesetzgebung dazu gezwungen sind“, betont der „CEO“ der secunet Security Networks AG.

Unterlasser in der Verantwortung

„Schuldzuweisungen an Softwarehersteller und Regierungen sind fehl am Platz. In einer Welt, in der Sicherheitstechnologien enorme Entwicklungsschritte machen, sollte niemand überrascht sein, dass 14 Jahre alte Systeme anfällig für Attacken sind“, meint John Gunn, „Chief Marketing Officer“ bei VASCO Data Security.
Die Verantwortung liege ganz klar bei denen, die sich auf archaische Methoden zur Sicherung der IT-Systeme verlassen – inklusive nicht gepachter Betriebssysteme und überholter Authentifikations-Methoden. Man sehe sich heute mit Attacken von bemerkenswerter Raffinesse konfrontiert, denen nur mit den neuesten Innovationen begegnet werden könne. Gunn: „Tut man dies nicht, muss man mit den Konsequenzen, wie sie aktuell viele Unternehmen erfahren, leben.“

Zurückhaltung des Wissens über Exploits nicht akzeptabel

Jeremiah Grossman, „Chief of Security Strategy“ bei SentinelOne, vertritt die Ansicht, dass Microsoft richtig gehandelt hat, und erläutert, was Unternehmen jetzt tun müssen:
„Ich begrüße es, dass Microsoft die NSA für die Zurückhaltung von Sicherheitslücken öffentlich angeklagt hat“, so Grossman. „Denn was uns das eingebracht hat, ist eine Katastrophe. Wenn wir den Angriff überstanden haben und die Hintergründe genauer beleuchtet wurden, müssen sich die betroffenen Länder und Interessenvertreter zusammensetzen und über Richtlinien und Strategien beraten.“ Denn es würden weitere Exploits zum Vorschein kommen, welche solch gefährlichen Attacken wie mit „WannaCry“ die Türe aufhielten.

Angreifer drängen auf Monetarisierung

Nach aktuellen Erkenntnisse von Bitdefender sollen die Angreifer kürzlich vier weitere Bitcoin-Wallets hinzugefügt haben – im Moment ist demnach eine Gesamtzahl von sieben Wallets mit einer Summe von 41,54 Bitcoins (entrechend 72.061 USD per 16.05.2017, 11:25 CET) im Einsatz.
Das Auftauchen der vier neuen Wallets ließen vermuten, dass die Angreifer verstärkt darauf drängten, ihre Aktivitäten zu monetarisieren – denn trotz der großen Aufregung sei die finanzielle Ausbeute bislang überschaubar. Auch könnten die vier neuen Wallets ein Zeichen dafür sein, dass weitere kriminelle Gruppen an die erste Welle andocken und diese Huckepack für sich nutzen wollten.
Die jüngste Malware-Analyse des Bitderfender-Forensik-Teams zeige, dass die kriminelle Gruppe hinter der Attacke eher aus Amateuren bestehe und es sich nicht um ein staatlich unterstütztes Team handele.

Folgende Hinweise sollen zu Bitdefenders Schlussfolgerung geführt haben:

• Die Zahlungsmethode sei für Ransomware eher unprofessionell, da sie direkt mit den Angreifern für den Entschlüsselungskey in Kontakt trete – in der Vergangenheit sei Ransomware in der Regel automatisiert gewesen.
• Die Tatsache, dass die Angreifer öffentlich zugänglichen Code verwendet hätten, um „EternalBlue“ zu bewaffnen und mit Ransomware zu bündeln, könnte darauf hindeuten, dass sie einfach Code „zusammengeflickt“ hätten. Ransomware könnte hiermit eingeschleust worden sein, um es als Mittel für „schnelles Geld“ zu verwenden – für den Fall, dass der Wurm sich erfolgreich ausbreitet.
• Die Tatsache, dass sie schnell die ursprüngliche Bedrohung gepatcht hätten, um die Domain-Validierung zu verfälschen („Kill Switch“-Validierung), aber im Zuge dieser Aktion ihr Bitcoin-Wallet überschrieben hätten, lasse auf Amateure schließen.

Weitere Informationen zum Thema:

datensicherheit.de, 12.05.2017
Wana-Ransomware: Weltweite Cyber-Attacke auf kritische Infrastrukturen