Eine Welle von Ransomware Attacken am vergangenen Freitag hat ein bisher beispielloses mediales Echo – auch in fachfremden Medien – ausgelöst.

Eine Prise Beruhigung vorneweg: Unsere SonicWALL Kunden sind vor der Attacke durch bereits Mitte April ausgelieferte Signaturen für den Gateway Antivirus und das IPS, sowie das Capture Sandboxing geschützt.

Ebenso biete SOPHOS Intercept-X mit dem CryptoGuard einen wirksamen Schutz am Endpoint.

 

Was ist passiert?

Verschlüsselungstrojaner, Cryptolocker oder Ransomware sind Synonyme für die bei Cyberganoven derzeit wohl beliebteste Art von Schadsoftware, die lokal auf dem Rechner sowie in Netzwerkreichweite Dateien verschlüsseln und ein Lösegeld von den Betroffenen fordern, damit sie wieder auf ihre Daten zugreifen können.

Der Schädling kommt hierbei in aller Regel via E-Mail auf die betroffenen Geräte und versteckt sich beispielsweise in Wordmakros.

Neu und erschreckend an dem Angriff vom vergangenen Freitag war jedoch ein integriertes, durch die NSA entwickeltes Tool („ETERNALBLUE“), das eine – bereits im März behobene – Sicherheitslücke von Windows ausnutzt und sich so über Dateifreigaben selbstständig im Netzwerk ausbreitet und neue Hosts infiziert. In dem Sinne verhält sich dieser Verschlüsselungstrojaner wie ein Wurm.

Die Expertenanalysen sind noch in vollem Gange, jedoch scheint sicher, dass sich der Trojaner konkret einer Sicherheitslücke des SMB Protokolles bedient und somit auf Port 445 das Netzwerk nach neuen potentiellen Opfern abscannt und infiziert.

Demnach sind auch Rechner gefährdet, die aus dem Internet über diesen Port erreichbar sind.

Mit im Gepäck hat WannaCry außerdem eine Back Door („DOUBLEPULSAR“), die TOR installiert um die Kommunikation der befallenen Rechner mit den Erpressern zu vereinfachen und diesen außerdem ermöglicht, weiteren Schadcode nachzuliefern.

Mehr technische Einblicke über die Funktionsweise von WannaCry finden Sie beispielsweise hier:

https://www.us-cert.gov/ncas/alerts/TA17-132Av

https://www.dshield.org/forums/diary/WannaCryWannaCrypt+Ransomware+Summary/22420/

 

Wie können Sie sich schützen?

Eine Reihe allgemeiner Hinweise zur Prävention von Ransomware:

  • Den Microsoft Patch MS17-010 vom 14. März 2017 installieren, der unter anderem die SMB Schwachstelle behebt.
    Für Windows XP, Windows 8 und Windows Server 2003 stellt Microsoft den Patch per Windows Update Catalog bereit:
    http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
  • Stellen Sie sicher, dass regelmäßige Scans Ihres Antivirenschutzes aktiviert sind.
  • Schränken Sie die Benutzung von privilegierten Accounts ein.
  • Konfigurieren Sie Zugriffsrechte auf Netzwerkfreigaben so restriktiv wie möglich – Benutzer die nur Lesezugriff haben, können auch keine Dateien verschlüsseln.
  • Microsoft Office Makros deaktivieren. Sind dadurch Dateien nicht einsehbar, schafft oft eine Office Viewer Lösung Abhilfe.
  • Awareness-Schulungen für Angestellte helfen dabei, dass diese leichter bösartige und gefälschte E-Mails identifizieren und diese melden können.
  • Lassen Sie regelmäßig Penetration Tests gegen Ihr Unternehmen durchführen. Sinnvoll ist mindestens einmal pro Jahr, optimalerweise noch häufiger.
  • Eine funktionierende Backup-Lösung kann den Schaden enorm eingrenzen.

 

Wie schützen wir Sie vor Ransomware?

  • Das Data-Sec RansomShield blockiert die Kommunikation eines infizierten Clients mit aktuell aktiven C&C-Servern, sodass die Verschlüsselung in vielen Fällen nicht stattfinden kann.
  • Die Kombination von signaturbasierten Scans am SonicWALL Gateway (IPS, GAV) sowie am SOPHOS Endpoint ist ein erster wichtiger und effektiver Schritt zu einer mehrschichtigen Gefahrenabwehr.
  • Das SonicWALL Feature Capture zündet Schadcode in einer Cloud-Sandbox-Umgebung und erkennt und stoppt somit Schadcode, noch bevor er Ihren Perimeter erreicht.
  • SOPHOS Intercept-X (bzw Exploit Prevention für On-Site Installationen) bringt einen CryptoGuard mit, der selbst völlig neue und unbekannte Cryptolocker stoppt und deren Änderungen an Dateien rückgängig macht.
  • Eine E-Mail Security Appliance mit starken Spamfiltern verhindert, dass Pishing- oder Spam-E-Mails überhaupt erst ihr Unternehmen erreichen, indem Sie eingehende E-Mails mittels Sender Policy Framework (SPF), Domain Message Authentication Reporting and Conformance (DMARC) und DomainKeys Identified Mail (DKIM) authentifiziert und E-Mail Spoofing verhindert.

 

Mehr zum Thema Ransomware aus unserem Blog:

https://data-sec.net/akute-bedrohung-durch-neuen-verschluesselungstrojaner-goldeneye/

https://data-sec.net/zepto-eine-neue-variante-der-locky-ransomware-aktuell-im-umlauf/

https://data-sec.net/erpressungstrojaner-locky-was-sie-wissen-muessen/