Wana-Ransomware: Weltweite Cyber-Attacke auf kritische Infrastrukturen

Aktueller „Threat-Alert“ von Malwarebytes vom 12. Mai 2017

[datensicherheit.de, 12.05.2017] In Bezug auf die am 12. Mai 2017 stattgefundenen weltweiten Cyber-Attacke auf kritische Infrastrukturen hat sich Malwarebytes mit ersten Erkenntnisse zu der Malware „Wana“ gemeldet. „Wana“ sei der einzige sich durchziehende Name; die graphische Benutzeroberfläche der Ransomware selbst nutze den Namen „Wana Decrytpt0r“; aber es seien auch schon die Namen „WannaCry“, „Wanna Cryptor“ etc. aufgetaucht.

Bekannte Schwachstelle genutzt, um in Netzwerke einzudringen

Es handelt sich demnach hierbei um einen sich schnell verbreitenden Ransomware-Typ, der kritische Infrastrukturen lahmlegt.
Es existierten starke Indizien dafür, dass er eine bekannte Schwachstelle nutzt, um in Netzwerke einzudringen und sich lateral zu verbreiten. Die besagte Schwachstelle sei Teil eines geleakten NSA-Hacking-Tools einer Gruppe namens „The Shadow Brokers“ (Codename „ETERNALBLUE“). Dieses NSA-Tool verschaffe den Angreifern über einen Exploit der SMB&NBT-Protokolle des „Windows“-Betriebssystems Remote-Zugriff.

Vor allem Krankenhäuser im Visier

Bisher sollen vor allem Krankenhäuser in Großbritannien und Telefonica in Spanien betroffen sein.
Aus Spanien würden Angriffe auf KPMG, BBVA und Santander, den Elektrizitätsversorger Iberdrola und den Telekommunikationsgroßkonzern Vodafone gemeldet; in Großbritannien sei der National Health Service (NHS) betroffen.
Malwarebytes vermutet nach eigenen Angaben, dass auch Russland, die Ukraine und Taiwan mit dieser Ransomware infiziert sind.

Infektion ungepatchter Systeme

Den ursprünglichen Infektionsüberträger versucht Malwarebytes noch zu identifizieren.
Der Angriff schienen gezielt vonstatten zu gehen, daher könne es eine Schwachstelle im Netzwerkschutz oder eine sehr effiziente Spear-Phishing-Attacke gewesen sein. Dennoch verbreite es sich durch infizierte Netzwerke über die „EternalBlue“-Schwachstelle und infiziere weitere ungepatchte Systeme.

„Windows“-System aktualisieren und neueste Sicherheitspatches installieren!

Das erste, was Unternehmen tun sollten, sei ihr „Windows“-System zu aktualisieren und die neuesten Sicherheitspatches zu installieren. Alle sehr alten Systeme (wie zum Beispiel „Windows XP“) sollten zurzeit am besten einfach ausgeschaltet werden. Das helfe dabei, die Verbreitung dieser Ransomware aufzuhalten, wenn das Netzwerk bereits infiziert ist.
Zusätzlich sollten an Unternehmen geschickte E-Mails nur mit großer Sorgfalt geöffnet und die Quelle sowie die Links vor dem Anklicken überprüft werden.
Zu guter Letzt sollte auch so schnell wie möglich – aber natürlich erst wenn der Angriff vorbei ist – eine Sicherheitssoftware installiert werden, die gegen Ransomware-Infektionen schützt.
Malwarebytes‘ Produkte z.B. nutzten einen Scanner und die Anti-Ransomware-Technologie entdecke diese Ransomware-Familie vollständig und halte sie auf.

Weitere Informationen zum Thema:

Malwarebytes LABS, 12.05.2017
WanaCrypt0r ransomware hits it big just before the weekend

datensicherheit.de, 23.02.2015
IT-Sicherheitsgesetz in Deutschland: Fokus auf kritische Infrastrukturen