Land

Security Blog

New-Age Ransomware: Wohin führt WannaCry 2.0 und welche 3 IT-Sicherheitsstrategien können effektiv helfen?

Verschiedenste Arten von Malware, die Zugriff auf Benutzerdaten oder auf ganze Systeme einschränken, sind schon seit Ende der 90er Jahre bekannt. Wie inzwischen für die meisten IT-Anwender alltäglich, konnte sich diese Schadsoftware aber erst durch verschiedene Fortschritte und Kombinationen zur heutzutage gefürchteten Ransomware entwickeln. Dazu trug einerseits die inzwischen hohe CPU-Leistung aktueller Systeme für die Ausführung von Verschlüsselungsalgorithmen bei, andererseits ist aber auch die Möglichkeit der nahezu anonymen Bezahlmöglichkeit durch die Blockchain dazu förderlich, dass aus der vorher meist nur vereinzelt auftretender Schadsoftware ein richtiger boomender Geschäftszweig wurde. Der erste massive Anstieg dieser Entwicklung fand Ende 2014 statt, nun allesamt auf das Malware-Modell der „Cryptolocker“ basierend. Während diese Varianten sich bis 2017 immer in kleinen Schritten, aber doch kontinuierlich weiterentwickelten, war das grundlegende Muster der Verbreitung und Infektion immer sehr ähnlich. Grundsätzlich war die „Unterstützung“ eines Menschen nötig, der überzeugt werden musste einen Link anzuklicken oder auch ein Attachment auszuführen.

Erst im Mai 2017 wurde der nächste Evolutionsschritt vollzogen: Ransomware, die kombiniert mit einem selbstverteilenden Mechanismus sich vollkommen selbstständig von einem Rechner auf den nächsten verbreitete. WannaCry nutzte die kurz zuvor entdeckten Sicherheitslücken in Windows-Systemen aus, um sich selbständig innerhalb von gesamten Netzwerken zu verbreiten – und das auch ohne weiteres Zutun eines Benutzers. Auf einmal waren auch viele, vormals eher autonom gehaltene Systeme, stark gefährdet und von dieser Schadsoftware betroffen. Dazu gehörten z.B. verschiedenste Steuerungsanlagen von Eisenbahnbetreibern, Schiffsfahrtgesellschaften oder auch Spitälern. Die New-Age Ransomware, welche nun Cryptolocker und Wurm-Malwarecharakteristiken in sich vereinte, war geboren.

Während sich die nächste massive Welle dieser neuen Entwicklung bereits im Juni in Form von „NotPetya“ zeigte, ist die Informationsgesellschaft seitdem von weiteren größeren Ausbrüchen verschont geblieben. Es wäre vielleicht ein wenig verwegen von der Ruhe vor dem Sturm zu sprechen. Doch das enorme Schadpotential, welches in solchen Szenarien vorstellbar ist, scheint immens. Doch welche Änderungen und Anpassungen können angewendet werden, um sich auf mögliche weitere Entwicklungen vorzubereiten? Zum Zeitpunkt des Eintritts ist es ja bekanntlich meistens zu spät.

Folgende 3 Strategien versprechen eine grundlegende Vorbereitung und Minimierung negativer Auswirkungen gegen weitere Evolutionsschritte dieser Malware:

  • Softwareupdates und Patching

WannaCry hat es aufgezeigt. Während die Patches für die ausgenutzten Softwarelücken bereits im März verfügbar waren, haben es viele Unternehmen nicht geschafft diese auch rechtzeitig bei den produktiven Systemen einzuführen. So erst konnte WannaCry im Mai 2017 sich zwischen vielen Systemen verbreiten. Zu einem sicheren Betrieb eines Live-Systems muss auch ein rasches Patch-Management vorhanden sein, welches Organisationen effizient und zeitnah die Reaktion auf verschiedene Vorkommnisse ermöglicht. Auch das Risiko von alten, nicht mehr aktualisierten Systemen sollte sichtbar gemacht werden – auch bei diesen sind Lücken in der Software wahrscheinlich, welche dann aber nicht mehr ausgebessert werden können.

  • Verantwortungsvoller Umgang mit Zero-Day-Threats

Gefundene Sicherheitslücken (oder gar implementierte Backdoors oder absichtliche „Sollbruchstellen“) dürfen nicht vor der Öffentlichkeit zurückgehalten werden. Jede mögliche Schwachstelle birgt das Risiko, von einer „anderen“ Seite entdeckt und zum Nachteil vieler ausnutzbar zu sein. Egal ob Regierungen oder anderen Unternehmen: Gefundene Sicherheitslücken müssen in einer offenen, transparenten Art und Weise kommuniziert werden. Organisationen, die Software entwickeln, sollen verantwortungsvoll mit möglichen Fehlern und deren Beseitigung umgehen und dafür die nötigen Vorbereitungen und Prozesse schaffen.

  • Umfassende Vorbereitungen für den IT-Security-Ernstfall

Es ist anhand der aktuellen Entwicklungen nicht mehr eine Frage ob etwas passiert, sondern nur mehr wann. Unternehmen benötigen ein Umdenken in der IT-Sicherheitskultur, welche sich realistisch mit möglichen Vorkommnissen auseinandersetzt. Sicherheitslücken und Updates erscheinen inzwischen beinahe täglich und sind kaum mehr überblickbar. Ein koordiniertes IT-Risk Management und angepasste Maßnahmen sind dazu inzwischen unersetzlich. Dazu gehören auch wesentliche Grundlagen, wie z.B. die 20 CIS-Controls, aber auch individuelle Aufwände und ein umfassender tagtäglicher Security-Betrieb. Es geht darum zu verstehen, wie verschiedene Entwicklungen das eigene Unternehmen exakt betreffen können. Auch zum Erhalt der IT-Security werden grundlegende Optimierungen des Betriebs von Systemen und Prozessen benötigt, um z.B. raschere Softwareupdates auszurollen. Des Weiteren sind Überlegungen zur Schadens-Minimierung angebracht: Jedes größere Gebäude muss über verschiedene Brandabschnitte verfügen. Wie ist ihr Netzwerk und die gesamte Server- und Applikationslandschaft strukturiert? Hierbei sollen verschiedene Zonen und Segmente implementiert werden, um zumindest grobe laterale Auswirkungen unter Kontrolle zu bekommen.

Die Entwicklungen in verschiedenen IT-Technologien schreiten unaufhaltsam voran. WannaCry hat es vorgezeigt, dass auch Ransomware nicht stehen bleibt und neue, vielleicht auch unerwartete Evolutionsstufen auf uns zu kommen können. Eine angepasste Vorbereitung mit den nötigen absehbaren Verfahren und Optimierungen wird dafür ausschlaggebend sein, wie sich die nächsten Wellen auswirken können.