WannaCry: Weltweiter Erpressungstrojaner-Angriff auf Computernetzwerke

Der Erpressungstrojaner WannaCry (WanaDecrypt0r 2.0) ist am Freitag (12.05.2017) weltweit in Computernetze eingedrungen, zum Teil in kritische Infrastrukturen. Nach Angaben von Europol wurden 220.000 Computer in mindestens 150 Ländern von der Malware infiziert, die enorme Schäden anrichtete. Der Angriff wird sehr ernst genommen, in Deutschland ermittelt das

You do not have permission to view link please Anmelden or Registrieren

bereits, aber ebenso werden Polizei und Geheimdienste anderer betroffener Länder nach Spuren der Angreifer suchen.



WannaCry war sicher der am schnellsten verbreitete Erpressungs-Trojaner aller Zeiten: Innerhalb einer nur kurzen Zeitspanne hatte er 220.000 Computer in mindestens 150 Ländern befallen, verschlüsselt und die Besitzer mit Lösegeldforderungen erpresst. Nutzer wurden aufgefordert, eine an Stichtage gebundene Summe von zunächst 300 US-Dollar, später 600 US-Dollar in Bitcoin zu zahlen, sonst droht WannaCry mit Datenverlust. Innerhalb nur weniger Stunden registrierten die Anbieter von Antivirensoftware Kaspersky 45.000 Angriffe in 74 Ländern, Konkurrent Avast stellte gar 75.000 Attacken in 99 Ländern auf Nutzer seiner Schutzlösung fest. Nach ersten Einschätzungen lag der Schwerpunkt der Angriffe vor allem in Russland, der Ukraine und Taiwan, hieß es bei Avast in einem

You do not have permission to view link please Anmelden or Registrieren

.

Über die Identität der Verursacher der massiven Störungen ist noch nichts bekannt. Die Ransomware WannaCry verbreitet sich als Wurm von befallenen Systemen aus weiter über eine Sicherheitslücke in Windows Dateifreigaben (SMB) und kann ohne Umweg, wie verseuchte E-Mails, andere Rechner direkt über das Netz infizieren. Bisher sind fünf Bitcoin-Adressen der Erpresser bekannt geworden. Auf diese „

You do not have permission to view link please Anmelden or Registrieren

“ gingen nicht mehr als 100 Zahlungen ein. Daraus schließt man auf Erlöse von maximal rund USD 26.090, berichtet

You do not have permission to view link please Anmelden or Registrieren

.

Das SMB-Exploit, das derzeit von WannaCry genutzt wird, wurde als EternalBlue identifiziert und gehört zu einer Sammlung von Hacking-Tools, die angeblich von der NSA erstellt und dann von einer Hackengruppe, den „

You do not have permission to view link please Anmelden or Registrieren

“ , ins Netz gestellt worden.

So kann dieser Angriff als eine der größten Verbreitungskampagnen von Schadsoftware seit Jahren gewertet werden:

• In Großbritannien soll er durch „technische Störungen“ des Nationalen Gesundheitssystems dazu geführt haben, dass Operationen abgesagt wurden, Röntgenaufnahmen und Patientenakten nicht mehr zugänglich waren und Telefone nicht mehr funktionierten, wie der
  You do not have permission to view link please Anmelden or Registrieren
  berichtet. Nach offiziellen Angaben infizierte der Cyber-Angriff 48 Organisationen des staatlichen Gesundheitsdienstes NHS.
• In Russland traf es Computer des Innenministeriums, es fielen rund 1.000 Computer aus, doch man kommentierte dort sogleich: Der Virus habe zu keinen Lücken geführt, die interne Informationen preisgegeben hätten. Inzwischen sei er lokalisiert, gab die Sprecherin des Ministeriums bekannt. Auch die Aufsicht über die Bank von Russland beruhigte laut Tass. Man habe keine Zwischenfälle festgestellt, die die Weitergaben von Daten der Banken betroffen hätten.
• Weiterhin haben die massiven Cyber-Angriffe am Wochenende die Produktion der kooperierenden Autohersteller Renault und Nissan behindert. Renault stoppte den Betrieb in einigen Werken in Frankreich. In Spanien traf es den Telekom-Konzern Telefónica und in den USA den Versanddienst Fedex, in Schweden waren 70 Computer der Gemeinde Timrå betroffen, hieß es auf der Webseite der Verwaltung. Zahlreiche Kunden der Bank Millennium BCP hatten am Freitag lange keinen Zugriff auf ihre Online-Konten. Das Geldhaus teilte mit, man sei nicht attackiert worden, habe aber vor dem Hintergrund der Cyberattacke vorbeugende technische Vorkehrungen ergriffen.
• In Deutschland wurden Rechner der deutschen Bahn infiziert. Der Schädling habe dabei die Systeme der Anzeigentafeln auf den Bahnhöfen befallen, bestätigte das Unternehmen am Samstag. Nach Angaben des Bundesinnenministeriums ist zudem die Videoüberwachung auf Bahnhöfen betroffen. Das Bundesinnenministerium teilte auf
  You do not have permission to view link please Anmelden or Registrieren
  mit, dass das Bundeskriminalamt die Ermittlungen zu dem Erpressungs-Trojaner übernommen habe. Computersysteme der Bundesregierung seien nicht infiziert. Von dem Cyberangriff betroffene Institutionen sollten sich an
  You do not have permission to view link please Anmelden or Registrieren
  (BSI) wenden. Innenminister Thomas de Maizière (CDU) betonte, der Angriff sei nicht der erste seiner Art, aber besonders schwerwiegend. Regierungsnetze
  You do not have permission to view link please Anmelden or Registrieren
  .

Aktuell scheint Wannacry sich nicht weiterzuverbreiten. Ein Sicherheits-Experte aus Großbritannien hat durch Zufall eine Art Selbstzerstörungs-Mechanismus der Software ausgelöst. Durch Untersuchungen fand er heraus, dass, bevor Wannacry mit seinem zerstörerischen Werk beginnt, er eine bestimmte Webadresse abruft, die aus obskuren Zahlen und Buchstaben besteht. Er schaute nach, ob es die Notfall-Webseite überhaupt gibt. Die Adresse war noch zu bekommen. Also registrierte er sie einfach, für günstige 9,77 Euro. „Wir hatten sofort 5.000 oder 6.000 Verbindungen die Sekunde“, erklärte der 22-Jährige aus Großbritannien gegenüber „

You do not have permission to view link please Anmelden or Registrieren

„. Allerdings geht er davon aus, dass die Angreifer demnächst eine überarbeitete Version auf das Netz loslassen. Die Windows-Updates sollten also unbedingt trotzdem eingespielt werden. Als Held sieht sich der bei Twitter unter dem Namen

You do not have permission to view link please Anmelden or Registrieren

aktive Sicherheitsexperte nicht. Das Ganze sei „völlig ohne Absicht“ passiert.

Für die Updates zur Schließung ihrer Sicherheitslücke sorgte Microsoft. In einer Blitzaktion erstellten sie Sicherheitsaktualisierungen für alle Kunden, um auch die Windows-Plattformen zu schützen, die nur in so genannter benutzerdefinierter Unterstützung sind, einschließlich für die eigentlich nicht mehr unterstützten Windows-Versionen. Darunter ist ebenso ein Update für das inzwischen 16 Jahre alte Windows XP, dessen Support der Konzern bereits 2014 eingestellt hatte, Windows 8 und Windows Server 2003. Wer eine aktuelle Version von Windows benutzt, muss sich keine Sorgen über den Fernangriff machen: Microsoft hat die NSA-Schwachstelle schon im März (durch den Software-Patch vom 14.03.2017 (MS17-010)) per Sicherheits-Update behoben. Zudem hat Microsoft nun öffentlich reagiert und im

You do not have permission to view link please Anmelden or Registrieren

eine entsprechende Notiz für alle Betroffenen veröffentlicht.

CCC-Sprecher Linus Neumann wirft der NSA vor, Millionen Rechner weltweit in Gefahr gebracht zu haben. Auch kriminelle oder feindliche Geheimdienste hätten sie nutzen können. Dass die NSA nicht reagierte, um die Systeme selber befallen zu können, bezeichnet Neumann als „fundamental falsch“: „Das Schadenspotenzial steht in keinem Verhältnis zu den Zielen der Geheimdienste.“

Der US-amerikanische Whistleblower Edward Snowden beurteilt die Ereignisse ähnlich. Auf

You do not have permission to view link please Anmelden or Registrieren

schreibt Snowden, es handele sich hier um einen ganz besonderen Fall. „Wenn die NSA die Sicherheitslücke, die für den Angriff auf Krankenhäuser genutzt wurde, geschlossen hätte, als sie sie gefunden haben, nicht erst als sie sie verloren haben, wäre der Angriff nicht passiert“, kritisiert der Whistleblower.

Sicherheitsexperten gehen davon aus, dass die Cyberangriffe mit Erpressersoftware noch nicht vorüber sind. Sie warnen zudem vor neuen Attacken: „Ich gehe davon aus, dass es von dieser Attacke früher oder später eine weitere Welle geben wird“, sagte Rüdiger Trost von der IT-Sicherheitsfirma F-Secure. Der Angriff über die Windows-Sicherheitslücke habe zu gut funktioniert, um aufzugeben.

Auch der Chef der europäischen Ermittlungsbehörde Europol, Rob Wainwright, gab am Sonntag dem britischen Fernsehsender ITV seine Einschätzung bekannt: „Die Zahlen gehen hoch.“ Die Welt habe mit einer wachsenden Bedrohung zu tun, meint Wainwright. Er rechnet mit noch mehr Fällen zu Beginn der neuen Arbeitswoche. Der Europol-Chef hält es für wahrscheinlich, dass mehrere Personen für den Cyber-Angriff verantwortlich sind.

You do not have permission to view link please Anmelden or Registrieren

, thx! (CC0 1.0 Public Domain)

You do not have permission to view link please Anmelden or Registrieren

You do not have permission to view link please Anmelden or Registrieren

Autor: Antonia

You do not have permission to view link please Anmelden or Registrieren

 

[Pleitgengeier]

Über die Identität der Verursacher der massiven Störungen ist noch nichts bekannt. Die Ransomware WannaCry verbreitet sich als Wurm von befallenen Systemen aus weiter über eine Sicherheitslücke in Windows Dateifreigaben (SMB) und kann ohne Umweg, wie verseuchte E-Mails, andere Rechner direkt über das Netz infizieren.

Funktioniert sowas nicht nur wenn die entsprechenden Ports im Router weitergeleitet werden?
Wer macht sowas bitte für SMB?

 

[KePa]

@Pleitgengeier: Laut den bekannten Informationen wird die Schwachstelle bezüglich SMB innerhalb des Netzwerks zur Verbreitung genutzt. Einfallstor in das Netz ist jedoch E-Mail. Das ist im TK Beitrag vielleicht etwas ungünstig formuliert.

You do not have permission to view link please Anmelden or Registrieren

 

[Pleitgengeier]

Also wiedermal ein Layer8-Exploit?

Oder war in den emails auch ein Exploit für gängige Mailprogramme/Browser, so dass der Empfang schon ausreicht?

 

[thom53281]

You do not have permission to view link please Anmelden or Registrieren

steht etwas mehr technisches dazu. Heißt, den Leuten wird eine manipulierte *.hta-Datei untergeschoben. Allerdings muss man da vermutlich schon zunächst den Link drücken, damit die Malware aktiv wird. Weiß nicht, ob das bereits ausreichend ist, wenn z. B. die HTML-Ansicht in Outlook aktiv ist.

In Unternehmensnetzwerken wo der passende Patch bislang nicht eingespielt ist (z. B. etliche Clients noch mit Windows XP), reicht aber bereits ein einzelner Fehler im Layer 8 um das halbe Unternehmensnetzwerk lahmzulegen (und irgendeinen Blödmann hat man leider immer ). Auf dem verursachenden Client kann sogar der aktuelle Patch schon installiert sein. Wie man an den aktuellen Ausfällen sieht, wird daher wohl in vielen Unternehmen noch grob fahrlässig gearbeitet und es sind noch viel zu viele alte Clients im Einsatz und nicht vom Internet abgeschottet.

*Eigentlich* finde ich es nicht richtig, dass Microsoft nun ein Update für Windows XP herausgebracht hat. Das wäre nun die ideale Gelegenheit gewesen, um das Bewusstsein für die Probleme von veralteter Software wieder etwas zu fördern. Schließlich wird das nicht die einzige Lücke sein, die bereits bekannt aber ungepatcht in Windows XP schlummert. Aber so kommt das nur wieder auf ein "Wenn's irgendwelche groben Schnitzer gibt, ja dann gibt's ja trotzdem wieder ein Update für unsere Systeme. Kein Grund zur Sorge."

 

[Metal_Warrior]

*Eigentlich* finde ich es nicht richtig, dass Microsoft nun ein Update für Windows XP herausgebracht hat. Das wäre nun die ideale Gelegenheit gewesen, um das Bewusstsein für die Probleme von veralteter Software wieder etwas zu fördern...

Es geht gar nicht anders. Es gibt Systeme, die man nicht upgraden kann - Produktionsanlagen, Messeinrichtungen, Laboreinrichtung, Steuerungssysteme... Dafür gibt es meist keine Software, die mit 10+ Jahre alter Hardware umgehen kann. Wenn mich nicht alles täuscht, sind einige Flugkontrollsysteme zum Beispiel noch auf Win3.11, weil dafür damals die Software geschrieben wurde, und man nicht einfach mal nen ganzen Luftraum für nen Upgrade zumachen kann. Ist ja schon schwer genug, ne Notruf-Leitstelle umzuziehen bzw. ein Upgrade zu fahren.

 

[KePa]

You do not have permission to view link please Anmelden or Registrieren

Dem kann ich leider nur zustimmen. Ich habe schon gesehen, dass eine Firma einen Techniker mit Windows 3.11 Laptop ruft, um eine Maschine zu warten.
Ungeachtet dessen gehört zu einem sauberen Patch Management auch ein vernünftiges Vulnerability Management. SMBv1 gehört abgeschaltet.

 

[one]

Kenne ich. Solche Systeme gehören aber schlicht und einfach nicht ans Netz. Zumindest nicht an das öffentliche. Was ich auf das Netz los lasse, sollte up to date sein. Daher: sskm.

 

[thom53281]

Es geht gar nicht anders. Es gibt Systeme, die man nicht upgraden kann - Produktionsanlagen, Messeinrichtungen, Laboreinrichtung, Steuerungssysteme...

Ja, das ist vollkommen klar. Wenn ich schon alleine schaue, was ich hier allein so alles an "Altertümern" privat herumstehen habe. Dennoch kann es nicht die Lösung sein, weiterhin auf den MS-Support zu hoffen um Updates für Uralt-Software zu erhalten. Vielmehr ist der richtige Umgang mit Uralt-Software wichtig. Heißt:

• Clients, soweit es möglich ist, vom Internet abschotten.
• Clients auch von anderen "modernen" internetfähigen Clients abschotten.
• Clients in verschiedene logische Segmente (Subnetze, VLANs, etc.) packen, damit im Falle der Fälle nur ein bestimmter Anteil der Clients betroffen ist und nicht alle.

Wenn ein infiltrierter Client es schafft, das komplette verbleibende Netzwerk aus Windows XP Geräten lahmzulegen, dann ist in meinen Augen einfach was falsch gelaufen. Beispiel Bahn: Da waren Videoüberwachung, Anzeigetafeln und Fahrkartenautomaten betroffen. Warum war das alles im selben Netzwerk? Und wie kam die Schadsoftware dorthin? Da müssen doch die Büro-Clients auch irgendwo im selben Netz sein und Zugriff haben?

 

[Metal_Warrior]

Da müssen doch die Büro-Clients auch irgendwo im selben Netz sein und Zugriff haben?

Nicht die vom Büro - die der Administration. Ich bin mir ziemlich sicher, dass die der Hop waren. Oder aber der Trojaner hat nicht nur die SMB-Schwachstelle genutzt, sondern auch einen unbekannten Exploit für Cisco-Router; die hatten in der letzten Zeit ja auch so ein paar Sternstunden. Da nutzen die alle VLANs nichts, wenn die Router, die sie trennen, selber infiziert sind.

Da hilft eigentlich nur physikalische Trennung. Und ja, das hätte sein müssen. Aber das ist unbequem, außerdem müsste man da Ahnung von IT und Sicherheit haben, und das bekommen die Verantwortlichen, die ja alle studiert haben, nie beigebracht.

 

[thom53281]

In größeren Bahnhöfen ja, da könnte man getrennte Netze machen. In kleineren Bahnhöfen mit 1-2 Fahrkartenautomaten und Anzeigetafeln fänd ich persönlich das aber schon fast wieder übertrieben. Da würde ich eher in Richtung VLAN gehen. Aber man müsste den konkreten Aufbau des Netzwerks sehen um das richtig beurteilen zu können.

Dass die Malware über die Computer der Administration kam, ja, das könnte auch sein. Gerade solche Clients, die überall Zugriff haben, sind imho sehr gefährlich. Daher wäre hier meine persönliche Empfehlung für Administratoren, den PC vor Ort mit einem unparteiischen System (z. B. Linuxdistribution) zu installieren und nur dazu zu verwenden, um z. B. eine Remotedesktopverbindung zu einem virtualisierten Client in den entsprechenden Netzen herzustellen. So kann man sich dann in jedem Netz kleine Clients zum Arbeiten aufsetzen, die wiederum nichts miteinander zu tun haben. Besser wäre natürlich auch hier eine komplette physikalische Trennung, aber man kann sich jetzt auch wieder nicht für 20 Netze zum Administrieren 20 Computer in's Büro stellen (oder so ähnlich).

 

[alter_Bekannter]

WannaCry hat eine gute hervorragende Komödie geschrieben.

Ich musste auch fast heulen, vor Lachen.

 

[Novgorod]

You do not have permission to view link please Anmelden or Registrieren

steht etwas mehr technisches dazu. Heißt, den Leuten wird eine manipulierte *.hta-Datei untergeschoben. Allerdings muss man da vermutlich schon zunächst den Link drücken, damit die Malware aktiv wird. Weiß nicht, ob das bereits ausreichend ist, wenn z. B. die HTML-Ansicht in Outlook aktiv ist.

gibt es immernoch email-cients, die code mit zugriff aufs lokale dateisystem ausführen!?

unabhängig davon steht

You do not have permission to view link please Anmelden or Registrieren

(link in deinem link) allerdings, dass es nicht durch phishing, sondern durch ans internet angeschlossenes SMB verbreitet wurde:

Thus far Fox-IT has found no evidence that any phishing e-mails were related to this specific ransomware outbreak

gibt es noch irgendwelche technische infos zu diesem "eternalblue" exploit? außer dass er winXP bis win2012 (bis zum patch) betrifft, habe ich keine details gefunden.. unter welchen voraussetzungen wird man im LAN infiziert? reicht schon, dass der SMB-server läuft und man IP-zugriff über den SMB-port hat oder müssen auch noch irgendwelche ressourcen freigegeben sein oder gar WINS/NetBIOS laufen etc.?

 

[thom53281]

unabhängig davon steht

You do not have permission to view link please Anmelden or Registrieren

(link in deinem link) allerdings, dass es nicht durch phishing, sondern durch ans internet angeschlossenes SMB verbreitet wurde:

Dort steht, dass es unter anderem eine der Verbreitungsmethoden war. Wenn in Unternehmen aber direkt öffentlich erreichbare SMB-Freigaben vorhanden sind, muss ich schon sehr am Können des Administrators zweifeln. Daher denke ich schon, dass die größeren Firmen nicht per SMB sondern auf anderen Wegen infiziert wurden.

Etwas mehr zu EternalBlue steht

You do not have permission to view link please Anmelden or Registrieren

. Aber auch nicht wirklich im Detail. Laut dem Dokument ist es bereits ausreichend, ein manipuliertes Paket an SMBv1 zu schicken. Daher denke ich, dass bereits allein ein aktivierter SMB-Server ausreichend ist. In Unternehmen dürfte das auf sämtliche Clients zutreffen, die beispielsweise administrative Freigaben (C$) aktiviert haben.

 

[KePa]

Dass zur ursprünglichen Verbreitung keine genauen Fakten oder Samples vorliegen, finde ich etwas beunruhigend. Ich habe mittlerweile diverse Artikel durchforstet und der einzige, der konkret über eine Verbreitung durch Phishingmails gesprochen hat war laut

You do not have permission to view link please Anmelden or Registrieren

.
Dass dann auch noch SMB bei diesen Firmen, die unter anderem einen hohen Bedarf an Sicherheit haben, von extern ansprechbar sein soll, finde ich ebenso zweifelhaft.

Trotzdem ist es erstaunlich in wie weit SMBv1 noch verbreitet ist. Das

You do not have permission to view link please Anmelden or Registrieren

. Tenable hatte es zeitweise als kritische Schwachstelle klassifiziert. Es ist auch einfach alt. Ähnlich wie bei SSL & TLS sehe ich hier aber auch die Hersteller in der Pflicht solch alte Protokolle endlich sterben zu lassen.

Abgestellt werden kann es durch das einfache Pushen von

You do not have permission to view link please Anmelden or Registrieren

.

Spoiler

Hive: HKEY_LOCAL_MACHINE
Key path: SYSTEM\CurrentControlSet\services\LanmanServer\Parameters
Value name: SMB1
Value type: REG_DWORD
Value data: 0x0 (0)

Hive: HKEY_LOCAL_MACHINE
Key path: SYSTEM\CurrentControlSet\services\LanmanWorkstation
Value name: DependOnService
Value type: REG_MULTI_SZ
Values data:
Bowser
MRxSmb20
NSI

Hive: HKEY_LOCAL_MACHINE
Key path: SYSTEM\CurrentControlSet\services\mrxsmb10
Value name: Start
Value type: REG_DWORD
Value data: 0x4 (4)

 

[Pulliuser]

Hier gibts den Microsoft Patch für diverse Systeme wohl auch als manuellen Download:

You do not have permission to view link please Anmelden or Registrieren

Falls sich noch jemand hierher verirrt der genauso noobig ist wie ich, die anderen Lösungen nicht checkt und Autoupdates nicht zur Wahl stehen.