Land

Security Blog

WannaCry - Stetige Weiterentwicklung und Paradigmenwechsel bei Malware erfordert neue Ansätze

WannaCry

Der am 12. Mai 2017 aufgetretene Malware Ausbruch der Schadsoftware “WannaCry” stellt eine deutliche Weiterentwicklung im Bereich der Ransomware-Schädlinge dar. Erstmals wurde hier eine neue Art von Cyber-Virus “gezüchtet”, der sich nun selbstständig ohne Benutzerinteraktion in Computernetzwerken weiterverbreiten kann.

Die Malware nutzt dazu einen Schwachstelle, die aus dem im Februar veröffentlichten Toolkit der NSA stammt. Konkret wird dabei eine Lücke im SMB Protokoll von Windows ausgenutzt, um damit Schadsoftware am betroffenen System auszuführen. Diese Vorgehensweise steht im Gegensatz zu der bis jetzt verwendeten Methode der Verbreitung von Ransomware über infizierte E-Mails. Durch diese neue Art der “Wurm”- Verbreitung wird eine gefährliche Bedrohung deutlich aggressiver.

Sobald die Malware nun über irgendeinen Schwachpunkt in ein Unternehmensnetzwerk eingedrungen ist, verbreitet sich diese über anfällige Systeme ohne aktuellen Softwarestand  im Netzwerk sehr rasch und fast unaufhaltsam weiter. Ein einziger Rechner reicht somit aus, um viele andere zu infizieren und auf jedem System lokale Verschlüsselungsroutinen zu starten und Lösegeld in Bitcoins zu verlangen.

Während für aktuelle Windows Betriebssysteme bereits im März ein Sicherheitsupdate bereit stand, waren hier auch Windows XP und Server 2003 verwundbar. Aufgrund der massiven Auswirkungen sah sich Microsoft gezwungen, auch für diese nicht mehr unterstützten Systeme noch ein Notfalls-Update herauszugeben.

Rund um WannaCry sind in den letzten 10 Tagen sehr  interessante Beobachtungen gemacht und auch verschiedene Thesen aufgestellt worden, welche alle auf einen deutlichen Paradigmenwechsel hinweisen.

Eine erste Besonderheit war ein eingebauter Kill-Switch im Code des Viruses, der zufällig von einem Sicherheitsforscher schon wenige Stunden nach dem Ausbruch aktiviert werden konnte. Hierbei wurde eine externe Website abgefragt und bei Erreichen derselben wurde die Ausführung eingestellt. Durch die Registrierung der Domäne konnte somit eine noch weitere Ausbreitung verhindert werden.

Im Gegensatz zur anfänglichen Vermutung ist nicht mehr sicher, ob sich diese Malware überhaupt per E-Mail verbreitet hatte - eine ausschließliche Verteilung durch die Nutzung der Sicherheitslücken im Netzwerk ist aber auch nicht eindeutig erklärbar.
 
Anteilsmäßig haben sich nur wenige betroffene Benutzer zur Zahlung bereit erklärt. Die Bitcoin Konten stehen bei ca. 100.000$ - recht wenig im Verhältnis zum Ausmaß der Verbreitung. Diese und andere Hinweise werden als Grundlage hergenommen, um mögliche Motivationen für die Malware herzuleiten. Forbes.com sieht Nordkorea im Verdacht etwas damit zu tun zu haben, auf z.B. www.coinidol.com wird spekuliert, dass man damit die Bekanntheit von Bitcoin steigern wollte. Tatsächlich hat der Kurs der Cryptowährung in den letzten Tagen neue Rekordwerte erreicht.

Fest steht jedenfalls, dass uns diese neue Entwicklung eines besonders zeigt: Cybersecurity ist immer ein Rennen zwischen Angreifer und Verteidiger ohne dass es einen eindeutigen Gewinner gibt. Es wird hierbei nie möglich sein, einen Schutz von 100%  zu erreichen. Der Sicherheitsexperte Bruce Schneier fasst dies in folgendem Zitat zusammen: “Criminals go where the money is, and cybercriminals are no exception”. Die Geschwindigkeit der Ausbreitung von solchen Malware Infektionen ist immens. Grundlagen wie ein durchgängiges Patchmanagement und auch eine durchdachte Backupstrategie sind  inzwischen unerlässlich. Ein dauerndes Beobachten und Weiterentwickeln anhand des Gelernten ist wichtig, um möglichen zukünftigen Entwicklungen begegnen zu können. Nur so ist es möglich, Risiken rechtzeitig zu erkennen und Gegenmaßnahmen sinnvoll planen und setzen zu können.
 

© 2017 IKARUS Security Software GmbH