Seit Freitag, 12. Mai 2017 sorgt „WannaCry“ weltweit für Schlagzeilen in den Nachrichten. Worin unterscheidet er sich von anderen Trojanern? Und welche Sicherheits-Maßnahmen sind erforderlich?
Im Unterschied zu den bisherigen Verschlüsselungstrojanern versucht der Krypto-Trojaner „WannaCry“ nicht nur Dateien auf Systemen zu verschlüsseln. Sondern sich anschließend auch selbstständig im Netzwerk zu verbreiten. Gerade der Selbstverbreitungsmechanismus sollte bei Unternehmen im Office-und Produktionsumfeld für erhöhte Achtsamkeit sorgen.
Der Weg der Erstinfektion eines Netzwerkes ist bekannt: Er findet in der Regel durch schadhafte E-Mail Anhänge statt, z.B. PDF- oder MS-Office-Dateien. Nach der Ausführung des E-Mail-Anhangs wird der Command-and-Control-Server (C&C-Server) kontaktiert, von ihm aus wird die eigentliche Schadsoftware nachgeladen.
Mittels der Schadsoftware wird zunächst versucht, das Dateisystem und angebundene Netzlaufwerke zu verschlüsseln. „WannaCry“ belässt es jedoch nicht dabei und versucht sich über eine SMB-Schwachstelle (Port 445) auf Microsoft-Systemen im gesamten Netzwerk auszubreiten und weitere Systeme und Laufwerke zu verschlüsseln.
Bei der Verbreitung via SMB bedarf es dann keinerlei Benutzerinteraktion mehr: „WannaCry“ führt sich selbstständig auf betroffenen Systemen aus. Dies bedeutet, dass es sich um einen sogenannten „Wurm“ oder auch „Ransomworm“ handelt. Neben der Infizierung via SMB wurde bekannt, dass die Infizierung über eine RDP-Session stattfinden kann.
Die SMB-Schwachstelle in Microsoft-Systemen wurde im März 2017 durch einen NSA-Leak unter dem Namen „Eternalblue“ bekannt. Microsoft bietet seit März das Sicherheitsupdate MS17-010 an, welches die Schwachstelle schließt. Zu beachten ist, dass das Sicherheitsupdate die automatische Verbreitung im Netzwerk verhindert. Nicht jedoch die Erstinfektion eines Systems, die eine Benutzerinterkation erfordert.
Wie bei den bekannten Ransomware-Wellen ist davon auszugehen, dass es weitere, modifizierte Ransomworms in den nächsten Wochen oder Monaten geben wird, die die gleiche oder eine andere Schwachstelle ausnutzen.
Der Verbreitungsweg ohne Benutzerinteraktion hat bei uns für erhöhte Aufmerksamkeit gesorgt – der Gefahr eines derartigen Angriffs sind wir uns bewusst. Aufgrund diverser Security-Maßnahmen lässt sich aktuell sagen, dass bislang keiner der HWI-Kunden betroffen ist.