- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Was tun? Ransomware-Angriff "WannaCry"


Fünf konkrete Handlungsempfehlungen zur Ransomware "WannaCry"
Der WannaCry-Angriff ist jedoch noch nicht ausgestanden oder gar beendet, da zwar diese Welle durch den Kill-Switch beendet wurde, aber jederzeit eine neue Angriffswelle denselben Exploit ausnutzen kann

- Anzeigen -





Von Oliver Keizers, Regional Director DACH, Fidelis Cybersecurity

Der bekannt gewordene Ransomware-Angriff mit den Namen "WannaCry" hat nach Presseberichten nie zuvor dagewesenen Ausmaße an Geschwindigkeit und Verbreitung erreicht. Fünf konkrete Handlungsempfehlungen zur Ransomware "WannaCry"

1. Umgehend den Patch MS17-010 (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx) installieren. Wer noch Windows XP, Windows 8, oder Windows Server 2003 nutzt findet unter https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ weitere Informationen.

2. Auf der Firewall die TCP Ports 137, 139 und 445 und UDP Ports 137 und 138 blockieren, über welchen die Kommunikation mit den Backend Services des Schadcodes läuft.

3. Server Message Block (SMB) Deaktivieren: Folgen Sie den Anleitungen von Microsoft um SMB zu deaktivieren.
https://support.microsoft.com/en-in/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
4. Der Schadcode in der aktuellen Version hat einen Kill-Switch und lässt sich beenden durch eine URL-Abfrage auf: www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. Eine neuere Version benutzt jedoch auch die URL www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. Wer einen Proxy im Unternehmen einsetzt, muss sicherstellen, dass diese URLs erreichbar sind oder ein Redirect auf ein eigenes Sink-Hole mit einer validen Antwort auf eine Webanfrage einrichten. (Trittbrettfahrer haben mittlerweile auch Versionen ohne diesen Kill-Switch gehackt, so dass dies alleine nicht ausreichend ist.)

5. Der Schadcode kommuniziert mit seinen Command & Control Servern über das Tor Protokoll, welches deshalb am Perimeter unbedingt geblockt werden muss. Bisher bekannte C&C Server sind

a. cwwnhwhlz52ma.onion

b. gx7ekbenv2riucmf.onion

c. xxlvbrloxvriy2c5.onion

d. 57g7spgrzlojinas.onion

e. 76jdd2ir2embyv47.onion

Dass unbedingt die jeweiligen Updates für Anti-Virus und Anti-Ransomware Software eingespielt werden müssen, sollte nicht erwähnt werden müssen, sondern selbstverständlich sein. Auch eine funktionierende Backup-Strategie ist immer eine gute Sache.

Erkennungsmethoden für "WannaCry"
Prozesse des Schadcodes lassen sich durch geeignete Tools am Endpunkt erkennen, indem die folgenden vier Erkennungsmerkmale aktiviert werden:

a. Shadow Copy: delete
b. Persistence: File created in roaming startup folder.
c. Behavior: Process executed by cmd.exe /c start
d. Behavior: Filename with one character

Ebenso erstellt der Schadcode auf dem Endpunkt Registry Einträge, über welche er erkennbar ist:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\ = "\tasksche.exe”
HKLM\SOFTWARE\WanaCrypt0r\\wd = "”
HKCU\Control Panel\Desktop\Wallpaper: "\@WanaDecryptor@.bmp”

Es ist jedoch zu beachten, dass die Empfehlung die Ports zu blockieren nur vor dem SMB-Wurm schützen. Sollten Sie den Schadcode via E-Mail, einem böswilligen Torrent oder andere Angriffsvektoren außerhalb des SMB-Protokolls erhalten haben, so gilt zumindest die Aufforderung des Patches von Microsoft weiterhin und unbedingt.

Fidelis hat für Unternehmen entsprechende Yara-Regeln zur Erkennung verfügbar gemacht, welche unter der URL https://raw.githubusercontent.com/felmoltor/rules/5be0f43f2fca0b5ff0e385534da9a94c273c172f/malware/malw_ms17-010_wannacrypt.yar geladen werden können.

Der Angriff ist jedoch noch nicht ausgestanden oder gar beendet, da zwar diese Welle durch den Kill-Switch beendet wurde, aber jederzeit eine neue Angriffswelle denselben Exploit ausnutzen kann. Ohne die Umsetzung dieser Empfehlungen ist die Gefahr hoch, weiterhin für diese Sicherheitslücke verwundbar zu sein. (Fidelis Cybersecurity: ra)

eingetragen: 15.05.17

Fidelis Cybersecurity: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • Damit Unternehmensdaten online sicher sind

    Jeder zweite Internetnutzer ist nach einer jüngsten Umfrage des Branchenverbandes Bitkom inzwischen von Cyberkriminalität betroffen: "Datendiebstahl, Identitätsklau, Beleidigung oder Betrug: Kriminelle finden zunehmend Opfer im Internet. Jeder zweite Internetnutzer (50 Prozent) war im vergangenen Jahr Opfer von Cyberkriminalität. Am häufigsten klagen Onliner über die illegale Verwendung ihrer persönlichen Daten oder die Weitergabe ihrer Daten an Dritte. Fast jeder Vierte (23 Prozent) war davon betroffen."

  • Teil der CISO-View-Industrieinitiative

    CyberArk präsentiert den neuen Forschungsbericht "The CISO View: Protecting Privileged Access in DevOps and Cloud Environments". Er basiert auf den Erfahrungswerten eines CISO-Panels aus Global-1000-Unternehmen und liefert fünf Empfehlungen für die Sicherung von DevOps-Prozessen. Sicherheitsstrategien müssen unternehmensweite Maßnahmen zum Schutz privilegierter Zugriffe und Zugangsdaten umfassen - gerade auch im DevOps-Umfeld, in dem etliche Service-Accounts, Encryption-, API- und SSH-Keys, Secrets von Containern oder eingebettete Passwörter in Programm-Code oft ungesichert sind. So hat auch der "Global Advanced Threat Landscape Report 2018" von CyberArk ergeben, dass mehr als 70 Prozent der befragten Unternehmen noch keine "Privileged Access Security"-Strategie für DevOps-Umgebungen haben.

  • "DNS Flag Day": Das müssen Sie wissen

    Infoblox klärt auf: Der "DNS Flag Day" am ersten Februar ist eine Chance für das in die Jahre gekommene DNS-Protokoll. Dieses existiert bereits seit über dreißig Jahren in zahlreichen Variationen und Modellen. Die gängige EDNS-Erweiterung wird allerdings von einigen DNS Servern nicht unterstützt und daher oft mit diversen Workarounds kompliziert umgangen. Doch das führte zu Problemen: Es entstehen Schwachstellen, die Komplexität steigt, Upgrades werden immer umständlicher und die DNS-Sicherheit leidet. Bestimmte Workarounds werden nun zum DNS Flag Day entfernt. "Der DNS Flag Day wird sich langfristig bei allen Internetnutzern bemerkbar machen. Denn durch eine Vereinfachung der DNS-Quellcodes wird sich die Internetgeschwindigkeit in Zukunft steigern. Gleichzeitig ist dieser Tag eine gute Gelegenheit für alle DNS Administratoren ihr DNS zu testen und gegebenenfalls eine Aktualisierung vorzunehmen", erklärt Frank Ruge, Director Sales Central Europe bei Infoblox die Bedeutung des ersten Februars.

  • Betrügereien im Social Web

    Fast täglich gelangen neue Datenschutzverletzungen in die Schlagzeilen. Verbraucher stellen sich die Frage, wie sie sich vor Cyber-Bedrohungen schützen können. Anlässlich des Europäischen Datenschutztages, gibt der Internet-Security-Experte BullGuard acht Tipps, mit denen Verbraucher sicherer im Internet surfen können und geschützt bleiben.

  • Fünf Schritte für Datensicherheit in der Cloud

    Die Verlagerung von Geschäftsprozessen und Applikationen in die Cloud erfordert eine genaue Planung, damit die Datensicherheit zu jeder Zeit und in jedem Detail gewährleistet ist. NTT Security (Germany), das auf Sicherheit spezialisierte "Security Center of Excellence" der NTT Group, hat die wichtigsten Aktivitäten dabei in fünf Schritten festgehalten. Wenn Unternehmen komplette Geschäftsprozesse in die Cloud verlagern, lassen sich die erwarteten betriebswirtschaftlichen Ziele nur dann erreichen, wenn die Migration von Anfang an durch eine umfassende IT-Security-Strategie abgesichert ist - bei der die Sicherheit der Daten eine entscheidende Rolle spielt. NTT Security konkretisiert die wichtigsten Aktivitäten in fünf Schritten.