Der globale Ransomware-Angriff und der Schutz Ihrer Daten

Werbung

Ein massiver Cyberangriff hat Computer auf der ganzen Welt getroffen. Die hochvirulente selbstreplizierende Ransomware - bekannt als WanaCryptor, Wannacry oder Wcry - hat teilweise einen Exploit der National Security Agency (NSA) angeeignet im letzten Monat in die Wildnis entlassen Cyberkriminelle besitzen CIA-Hacking-Tools: Was dies für Sie bedeutetDie gefährlichste Malware der Central Intelligence Agency, die nahezu die gesamte drahtlose Unterhaltungselektronik hacken kann, könnte nun in die Hände von Dieben und Terroristen gelangen. Was bedeutet das für Sie? Weiterlesen von einer Hacking-Gruppe namens The Shadow Brokers.

Laut Antiviren-Entwicklern soll die Ransomware mindestens 100.000 Computer infiziert haben. Avast. Der massive Angriff richtete sich hauptsächlich gegen Russland, die Ukraine und Taiwan, breitete sich jedoch auf große Institutionen in mindestens 99 anderen Ländern aus. Abgesehen von der Forderung nach 300 US-Dollar (ca. 0,17 Bitcoin zum Zeitpunkt des Schreibens) ist die Infektion ebenfalls bemerkenswert für seinen mehrsprachigen Ansatz zur Sicherung des Lösegelds: Die Malware unterstützt mehr als zwei Dutzend Sprachen.

Was ist los?

WanaCryptor verursacht massive, fast beispiellose Störungen. Die Ransomware betrifft Banken, Krankenhäuser, Telekommunikation, Energieversorger, und andere unternehmenskritische Infrastruktur Wenn Regierungen angreifen: Malware des Nationalstaates aufgedecktDerzeit findet ein Cyberkrieg statt, der im Internet verborgen ist und dessen Ergebnisse nur selten beobachtet werden. Aber wer sind die Spieler in diesem Kriegsschauplatz und was sind ihre Waffen? Weiterlesen .

Allein in Großbritannien mindestens 40 NHS (National Health Service) Trusts erklärten Notfälle und erzwangen die Aufhebung wichtiger Operationen, sowie die Sicherheit der Patienten zu untergraben und mit ziemlicher Sicherheit zu führen Todesfälle.

Die Polizei ist im Southport Hospital und die Krankenwagen werden bei A & E "gesichert", da die Mitarbeiter mit der anhaltenden Hack-Krise fertig werden #NHSpic.twitter.com/Oz25Gt09ft

- Ollie Cowan (@Ollie_Cowan) 12. Mai 2017

WanaCryptor wurde erstmals im Februar 2017 veröffentlicht. Die ursprüngliche Version der Ransomware änderte die betroffenen Dateierweiterungen in ".WNCRY" und markierte jede Datei mit der Zeichenfolge "WANACRY!"

WanaCryptor 2.0 verbreitet sich schnell zwischen Computern mithilfe eines Exploits, der der Gleichungsgruppe zugeordnet ist Hacking-Kollektiv, das eng mit der NSA verbunden ist (und stark gemunkelt wird, dass es sich um das interne „schmutzige“ Hacking handelt Einheit). Der angesehene Sicherheitsforscher Kafeine bestätigte, dass der als ETERNALBLUE oder MS17-010 bekannte Exploit wahrscheinlich in der aktualisierten Version enthalten war.

WannaCry / WanaCrypt0r 2.0 löst tatsächlich die ET-Regel aus: 2024218 "ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response" pic.twitter.com/ynahjWxTIA

- Kafeine (@kafeine) 12. Mai 2017

Mehrere Exploits

Dieser Ransomware-Ausbruch unterscheidet sich von dem, was Sie vielleicht bereits gesehen haben (und ich hoffe, nicht erlebt). WanaCryptor 2.0 kombiniert das durchgesickerte SMB (Server Message Block, ein Windows-Netzwerk-Dateifreigabeprotokoll). Exploit mit einer sich selbst replizierenden Nutzlast, die es der Ransomware ermöglicht, sich von einem anfälligen Computer auf den Computer auszubreiten Nächster. Dieser Lösegeld-Wurm schneidet die übliche Ransomware-Übermittlungsmethode für infizierte E-Mails, Links oder andere Aktionen aus.

Adam Kujawa, ein Forscher bei Malwarebytes erzählte Ars Technica „Der anfängliche Infektionsvektor ist etwas, das wir immer noch herausfinden wollen… In Anbetracht dessen, dass dieser Angriff scheint Gezielt könnte dies entweder auf eine Sicherheitslücke in der Netzwerkabwehr oder auf ein sehr gut ausgearbeitetes Spear-Phishing zurückzuführen sein Attacke. Unabhängig davon verbreitet es sich mithilfe der EternalBlue-Sicherheitsanfälligkeit über infizierte Netzwerke und infiziert zusätzliche nicht gepatchte Systeme. “

WanaCryptor nutzt auch DOUBLEPULSAR, ein weiterer durchgesickerter NSA-Exploit CIA Hacking & Vault 7: Ihr Leitfaden zur neuesten WikiLeaks-VersionAlle reden über WikiLeaks - schon wieder! Aber die CIA beobachtet Sie nicht wirklich über Ihren Smart-TV, oder? Sicherlich sind die durchgesickerten Dokumente Fälschungen? Oder vielleicht ist es komplizierter. Weiterlesen . Dies ist eine Hintertür, mit der bösartiger Code remote eingefügt und ausgeführt werden kann. Die Infektion sucht nach Hosts, die zuvor mit der Hintertür infiziert waren, und verwendet, wenn sie gefunden wurde, die vorhandene Funktionalität, um WanaCryptor zu installieren. In Fällen, in denen auf dem Hostsystem keine DOUBLEPULSAR-Hintertür vorhanden ist, wird die Malware auf den ETERNALBLUE SMB-Exploit zurückgesetzt.

Kritisches Sicherheitsupdate

Das massive Durchsickern von NSA-Hacking-Tools sorgte weltweit für Schlagzeilen. Es gibt sofortige und konkurrenzlose Beweise dafür, dass die NSA unveröffentlichte Zero-Day-Exploits für den eigenen Gebrauch sammelt und speichert. Dies birgt ein enormes Sicherheitsrisiko 5 Möglichkeiten, sich vor einem Zero-Day-Exploit zu schützenZero-Day-Exploits, Software-Schwachstellen, die von Hackern ausgenutzt werden, bevor ein Patch verfügbar wird, stellen eine echte Bedrohung für Ihre Daten und Ihre Privatsphäre dar. So können Sie Hacker in Schach halten. Weiterlesen , wie wir jetzt gesehen haben.

Zum Glück Microsoft gepatcht Der Eternalblue-Exploit im März, bevor der massive Waffen-Exploit-Fundus der Shadow Brokers Schlagzeilen machte. Angesichts der Art des Angriffs, der Tatsache, dass wir wissen, dass dieser spezielle Exploit im Spiel ist, und der raschen Art der Infektion scheint es sich um eine große Anzahl von Organisationen zu handeln Das kritische Update konnte nicht installiert werden Wie und warum müssen Sie diesen Sicherheitspatch installieren? Weiterlesen - mehr als zwei Monate nach seiner Veröffentlichung.

Letztendlich werden betroffene Organisationen das Schuldspiel spielen wollen. Aber wo soll der Finger zeigen? In diesem Fall gibt es genug Schuld, um sich auszutauschen: die NSA für Bevorratung gefährlicher Zero-Day-Exploits Was ist eine Zero Day-Sicherheitsanfälligkeit? [MakeUseOf erklärt] Weiterlesen , die Übeltäter, die WanaCryptor mit den durchgesickerten Exploits aktualisiert haben, die zahlreichen Organisationen, die ein kritisches Sicherheitsupdate ignoriert haben, und weitere Organisationen, die weiterhin Windows XP verwenden.

Dass Menschen möglicherweise gestorben sind, weil Unternehmen festgestellt haben, dass die Aktualisierung ihres primären Betriebssystems einfach verblüffend ist.

Microsoft haben sofort freigegeben Ein wichtiges Sicherheitsupdate für Windows Server 2003, Windows 8 und Windows XP.

Microsoft-Versionen #WannaCrypt Schutz für nicht unterstützte Produkte Windows XP, Windows 8 und Windows Server 2003: https://t.co/ZgINDXAdCj

- Microsoft (@Microsoft) 13. Mai 2017

Bin ich gefährdet?

WanaCryptor 2.0 verbreitete sich wie ein Lauffeuer. In gewisser Weise hatten Menschen außerhalb der Sicherheitsbranche die rasche Ausbreitung eines Wurms und die damit verbundene Panik vergessen. In diesem hyper-vernetzten Zeitalter und in Kombination mit Crypto-Ransomware waren die Malware-Anbieter auf einem schrecklichen Gewinner.

Bist du gefährdet? Glücklicherweise fand der MalwareTechBlog, bevor die USA aufwachten und ihren Computertag begannen, einen im Malware-Code versteckten Kill-Switch, der die Ausbreitung der Infektion eindämmte.

Der Kill-Switch beinhaltete einen sehr langen unsinnigen Domainnamen - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - an den die Malware eine Anfrage stellt.

Daher kann ich meinem Lebenslauf nur "versehentlich einen internationalen Cyberangriff gestoppt" hinzufügen. ^^

- ScarewareTech (@MalwareTechBlog) 13. Mai 2017

Wenn die Anforderung live zurückkommt (d. H. Die Anforderung akzeptiert), infiziert die Malware den Computer nicht. Leider hilft das niemandem, der bereits infiziert ist. Der Sicherheitsforscher hinter MalwareTechBlog registrierte die Adresse, um neue Infektionen über ihre Anfragen zu verfolgen, ohne zu bemerken, dass es sich um den Not-Aus-Schalter handelte.

#Ich könnte heulen Die Propagierungsnutzlast enthält eine zuvor nicht registrierte Domäne. Die Ausführung schlägt fehl, nachdem die Domäne in eine Senklochung aufgenommen wurde pic.twitter.com/z2ClEnZAD2

- Darien Huss (@darienhuss) 12. Mai 2017

Leider besteht die Möglichkeit, dass andere Varianten der Ransomware existieren, jede mit ihrem eigenen Kill-Switch (oder überhaupt nicht).

Die Sicherheitsanfälligkeit kann auch durch Deaktivieren von SMBv1 verringert werden. Microsoft bietet ein ausführliches Tutorial Informationen dazu finden Sie unter Windows und Windows Server. Unter Windows 10 kann dies sein schnell durch Drücken erreicht Windows-Taste + X., auswählen PowerShell (Admin)und Einfügen des folgenden Codes:

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

SMB1 ist ein altes Protokoll. Neuere Versionen sind für die WanaCryptor 2.0-Variante nicht anfällig.

Wenn Ihr System wie gewohnt aktualisiert wurde, sind Sie es auch unwahrscheinlich die direkten Auswirkungen dieser besonderen Infektion zu spüren. Wenn Sie jedoch einen NHS-Termin abgesagt haben, die Bankzahlung fehlgeschlagen ist oder ein wichtiges Paket nicht eingetroffen ist, sind Sie trotzdem betroffen.

Ein gepatchter Exploit macht nicht immer den Job. Conficker, jemand?

Was passiert als nächstes?

In Großbritannien wurde WanaCryptor 2.0 ursprünglich als direkter Angriff auf den NHS beschrieben. Dies wurde abgezinst. Es bleibt jedoch das Problem, dass Hunderttausende von Menschen aufgrund von Malware direkt gestört wurden.

Die Malware weist auf einen Angriff mit drastisch unbeabsichtigten Folgen hin. Cybersicherheitsexperte Dr. Afzal Ashraf, sagte der BBC dass „sie wahrscheinlich eine kleine Firma angegriffen haben, unter der Annahme, dass sie einen kleinen Geldbetrag bekommen würden, aber er ist in das NHS-System gelangt und jetzt sind sie es die volle Macht des Staates gegen sie haben - denn offensichtlich kann es sich die Regierung nicht leisten, dass so etwas passiert und ist erfolgreich."

Es ist natürlich nicht nur der NHS. In Spanien, El Mundoberichten, dass 85 Prozent der Computer bei Telefonica waren vom Wurm betroffen. Fedex bestätigte, dass sie betroffen waren, ebenso wie Portugal Telecom und Russlands MegaFon. Und das ohne Berücksichtigung der großen Infrastrukturanbieter.

Zwei Bitcoin-Adressen erstellt (Hier und Hier), um Lösegeld zu erhalten, enthalten jetzt eine kombinierte 9,21 BTC (ca. 16.000 USD zum Zeitpunkt des Schreibens) aus 42 Transaktionen. Das heißt, und die Theorie der „unbeabsichtigten Konsequenzen“ wird durch die fehlende Systemidentifikation bestätigt, die mit den Bitcoin-Zahlungen bereitgestellt wird.

Vielleicht fehlt mir etwas. Wenn so viele Wcry-Opfer dieselbe Bitcoin-Adresse haben, wie können die Entwickler dann feststellen, wer bezahlt hat? Manche Sachen ...

- BleepingComputer (@BleepinComputer) 12. Mai 2017

Was passiert als nächstes? Der Bereinigungsprozess beginnt und betroffene Organisationen zählen ihre finanziellen und datenbasierten Verluste. Darüber hinaus werden betroffene Organisationen ihre Sicherheitspraktiken gründlich untersuchen und - ich wirklich, wirklich hoffen - aktualisieren, das veraltete und jetzt gefährliche Windows XP-Betriebssystem verlassen hinter.

Wir hoffen.

Waren Sie direkt von WanaCryptor 2.0 betroffen? Haben Sie Daten verloren oder wurde ein Termin abgesagt? Denken Sie, Regierungen sollten die Aufrüstung einer unternehmenskritischen Infrastruktur erzwingen? Teilen Sie uns unten Ihre Erfahrungen mit WanaCryptor 2.0 mit und teilen Sie uns mit, ob wir Ihnen geholfen haben.

Bildnachweis: Alles, was ich über Shutterstock.com mache