Wie Sie wahrscheinlich wissen, gab es am Freitag einen noch nie dagewesenen Ransomware-Vorfall in NHS-Krankenhäusern. Berichten zufolge wurde die Ransomware in etwa 100 Ländern gefunden und betraf etwa 75.000 Rechner (und diese Zahlen stiegen bei Redaktionsschluss noch an).

Um Ihnen dabei zu helfen, haben wir eine Anatomie der Entstehung zusammengestellt, die wir aus verschiedenen Quellen zusammengetragen haben, damit Sie besser verstehen, wie es dazu kam und wie es sich so schnell verbreiten konnte.

Aber zunächst hoffen wir, dass Sie Ihren Computer heute einschalten konnten, ohne dass er mit Malware infiziert wurde, denn viele Tausende auf der ganzen Welt werden nicht so viel Glück haben. Es lohnt sich, Ihre Freunde und Kollegen mit Windows darauf hinzuweisen, dass ihr System unbedingt mit dem Sicherheitsupdate „MS17-010“ gepatcht werden muss – https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

E-Mail-Bewusstsein

Es ist wahrscheinlich, dass dieser ganze Angriff mit einer Spam-Attacke begann. Mehrere Nachrichtenagenturen haben berichtet, dass die Malware, die die Ransomware auslöst, installiert wurde, nachdem ein Benutzer ein Word-Dokument geöffnet hatte, das Makros enthielt.

Für diejenigen von uns, die im Bereich der Cybersicherheit tätig sind, sind diese Angriffe alltäglich. Dieser Angriff ist jedoch einzigartig, weil er so weit verbreitet ist. Der Angriff setzte sich über das Wochenende fort. Chinesische Staatsmedien berichteten, dass 29.000 Einrichtungen in ganz China von der globalen Ransomware-Cyberattacke infiziert wurden. Auch am Montagmorgen bestätigte die australische Regierung, dass private Unternehmen von dem Ransomware-Angriff betroffen sind.

Das Attachment des Verderbens!

Sobald also die E-Mail ankommt und der Benutzer die angehängten Dokumente öffnet, ist das Spiel vorbei!

Es können mehrere Dinge passiert sein:

Erstens ist es wahrscheinlich, dass sich die Malware, sobald sie gestartet wurde, an alle Kontakte in der E-Mail-Kontaktliste des Benutzers verschickt hat. Dies ist ein Grund, warum sich die Malware so schnell und weit verbreiten konnte.

Dann wird sich die Malware auf dem lokalen Rechner installiert haben. Dies hätte höchstwahrscheinlich auch die Ransomware auf dem lokalen Rechner ausgelöst. Diese spezielle Variante der Ransomware hat verschiedene Namen – WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY. Sie verschlüsselt jede lokale Datei, die sie finden kann, und zeigt einen Bildschirm wie diesen an:

Die Idee ist, dass der Benutzer, sobald die Verschlüsselung greift, zahlen muss, um wieder Zugriff auf seine Dateien zu erhalten. Der geforderte Betrag beträgt $300. Wenn Sie innerhalb von 72 Stunden nicht gezahlt haben, verdoppelt sich der Betrag. Und wenn Sie innerhalb einer Woche nicht bezahlt haben, werden alle Dateien gelöscht. Natürlich gibt es – wie bei jeder Ransomware – keine Garantie, dass die Zahlung zur Entschlüsselung der Dateien führt. Die Zahlung erfolgt mit Bitcoins – mehr über diese digitale Währung erfahren Sie hier

EternalBlue

Lassen Sie sich von dem Namen nicht täuschen, der Name EternalBlue sollte vielen Unternehmen Angst einjagen. Irgendwann in der Vergangenheit fand die National Security Agency in den USA eine Schwachstelle in bestimmten Versionen von Microsoft Windows, die es ihr ermöglichte, aus der Ferne auf den Rechner zuzugreifen und Software zu installieren. Zu Beginn dieses Jahres wurde die NSA selbst gehackt und die Hacker fanden Details zu dieser und einer Reihe anderer Sicherheitslücken. Als dies bekannt wurde, veröffentlichte Microsoft einen Patch für alle unterstützten Versionen von Windows.

Es gibt jedoch mehrere Versionen, für die keine Patches veröffentlicht wurden – vor allem Windows XP und Windows Server 2003. Die Malware, die am vergangenen Freitag auftauchte, war in der Lage, das Netzwerk von Organisationen nach Rechnern zu durchsuchen, auf denen diese nicht unterstützten Windows-Versionen liefen, und dann diese Schwachstelle (Codename „EternalBlue“) zu nutzen, um sich über das Netzwerk auf dem entdeckten Rechner zu installieren und diesen zu verschlüsseln.

Diese Technik ist ein weiterer Grund dafür, dass sich das Problem so schnell ausbreiten konnte. Sie ist auch ein Hauptgrund, warum der NHS so stark betroffen war. Der NHS ist dafür berüchtigt, veraltete Software und Betriebssysteme zu verwenden – sogar für einige seiner wichtigsten Systeme.

Eine letzte Sache sollte noch erwähnt werden. Vielleicht haben Sie die Berichte über den „zufälligen Helden“ gelesen, dem es gelungen ist, die Infizierung weiterer Rechner zu verhindern. Es scheint, dass sich die Ransomware, bevor sie wirksam wird und die Rechner verschlüsselt, bei einer Internetdomäne „eincheckt“. Die Domäne ist „www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com“.

Im Wesentlichen prüft der Virus, ob die Website aktiv ist, und wenn ja, verlässt er den Computer, anstatt ihn zu infizieren. Dies scheint ein Kill-Switch zu sein, den die Hacker eingebaut haben, um die Ransomware-Kampagne bei Bedarf beenden zu können. Die oben genannte Domain wurde nie registriert, so dass die Website nicht aktiv gewesen wäre. Aber ein Sicherheitsanalytiker hat die Domain registriert (gegen eine Gebühr von £8) und damit die Website ins Leben gerufen, so dass die Ransomware keine weiteren Rechner mehr infizieren kann.

Die Hacker können jedoch geringfügige Änderungen an ihrem Code vornehmen und die Ransomware auch ohne diesen Kill Switch wieder veröffentlichen. Die Auswirkungen könnten weitaus verheerender sein als das, was wir am Freitag gesehen haben.

Nur die Zeit wird zeigen, ob diese Angriffe eskalieren oder ob wir das Schlimmste von EternalBlue hinter uns haben. Phishing-Angriffe wird es jedoch auch weiterhin geben. Um zu vermeiden, dass Ihr Unternehmen in Zukunft in einen globalen Vorfall verwickelt wird, sollten Sie in unsere spezielle Phishing-Simulationssoftware investieren –  MetaPhish, das die Sensibilität Ihrer Mitarbeiter für betrügerische E-Mails erhöht. Wir bieten auch einen eLearning-Kurs zur Sensibilisierung für Phishing an, in dem Sie lernen, wie Sie einen Phish richtig erkennen und was zu tun ist, wenn Sie einen Phish entdecken.  

Sprechen Sie noch heute mit uns, um mehr darüber zu erfahren, wie Sie Ihr Unternehmen vor einem Phishing-Angriff schützen können.