WannaCry-Ransomware: Was es ist und wie Sie sich schützen können
Im Mai 2017 begannen sich Windows-Computer auf der ganzen Welt mit einem leuchtend roten Bildschirm zu verriegeln, der später für Sicherheitsforscher sofort erkennbar war. Die nun unbrauchbaren Systeme verlangten Bitcoin als Gegenleistung für die Wiedererlangung des Zugriffs: das charakteristische Merkmal einer bestimmten Art von Virus, die als Ransomware bekannt ist. Warum ist das also wichtig und warum reden wir heute noch darüber?
Besonders ungewöhnlich war die Geschwindigkeit, mit der sich diese Infektion ausbreitete. In weniger als 24 Stunden war es kompromittiert mehr als 75.000 Computer auf der ganzen Welt und untergrub die Geschäftstätigkeit von Organisationen im Wert von mehreren Millionen Dollar, darunter FedEx, Renault, Telefonica, sowie kritische Teile der Infrastruktur einiger Länder, wie beispielsweise den britischen National Health Service, erheblich. Das Ausmaß dieses Angriffs war einfach beispiellos und WannaCry-Infektionen sind auch heute noch äußerst häufig.
Was ist WannaCry?
Einfach ausgedrückt handelt es sich bei WannaCry (auch bekannt als WannaCrypt, WCry und WDecryptor) um Ransomware: Sie sperrt Ihren PC und gewährt Zugriff erst, nachdem Sie die Angreifer bezahlt haben (normalerweise etwa 300–600 US-Dollar in Bitcoin).
Allerdings ist diese Software äußerst komplex. Es verbreitet sich über zwei von der NSA entwickelte Exploits, eine Hintertür namens DoublePulsar und eine Windows-Schwachstelle namens EternalBlue. Im Wesentlichen ermöglicht DoublePulsar Hackern, WannaCry auf Remote-Rechnern auszuführen, und der EternalBlue-Exploit ermöglicht die Ausbreitung dieser Ransomware auf andere Geräte im Netzwerk.
Es gab drei Gründe, warum dieser Ansatz so effektiv war. Erstens gab es keine einfache Möglichkeit festzustellen, ob Sie bereits mit der DoublePulsar-Hintertür infiziert waren. Zweitens konzentriert sich die Netzwerksicherheit normalerweise auf die Verhinderung von Angriffen von außen und nicht auf die interne Verbreitung von Malware. Schließlich hatte Windows den EternalBlue-Exploit erst einen Monat zuvor gepatcht. Mit anderen Worten: Sofern Ihr System nicht auf automatische Aktualisierung eingestellt war, waren Sie wahrscheinlich immer noch angreifbar.
Wie wurde die Verbreitung von WannaCry im Jahr 2017 gestoppt?
Die WannaCry-Ransomware-Kampagne 2017 wurde fast durch einen völligen Zufall gestoppt. Zwei Sicherheitsforscher, Marcus Hutchens und Jamie Hankins, entdeckten eine Webadresse im WannaCry-Code und stellten schnell fest, dass diese nicht registriert war. Dies fungierte als Notausschalter, der den Strom böswilligen Datenverkehrs abschaltete und wirksam verhinderte, dass sich die Ransomware noch weiter ausbreitete.
Natürlich war dies nicht das Ende. Laut TechCrunch fanden die beiden die Situation schnell heraus außer Kontrolle geraten Dabei versuchen sowohl Botnetze als auch Strafverfolgungsbehörden, die Website offline zu schalten (um die Angriffe fortzusetzen bzw. zu stoppen). Selbst jetzt, wenn die Website offline geht, wird der Angriff erneut beginnen. Glücklicherweise hostet Cloudflare die Website jetzt. Als eines der größten Web-Infrastrukturunternehmen der Welt ist das Worst-Case-Szenario mittlerweile äußerst unwahrscheinlich (wenn auch nicht unmöglich).
Wer steckte hinter den WannaCry-Angriffen 2017?
Im September 2018 erhob das US-Justizministerium nach einer langwierigen Untersuchung Anklage gegen einen namentlich genannten Programmierer aus Nordkorea Park Jin Hyok mit einer Flut von Cyberkriminalität, die bis ins Jahr 2014 zurückreicht. In der Anklage wurde insbesondere behauptet, er sei Teil eines staatlich geförderten Hackerkollektivs namens Lazarus Group gewesen. Die nordkoreanische Regierung wiederum behauptet, dass diese Person „ ist nicht vorhanden “. Die Bemühungen, die übrigen Personen zu identifizieren, die an dieser speziellen WannaCry-Kampagne beteiligt sind, dauern an.
Ist WannaCry immer noch eine Bedrohung?
Absolut. Obwohl die WannaCry-Angriffe relativ stabil blieben, kam es zwischen Oktober 2020 und März 2021 zu einem Anstieg der gemeldeten Vorfälle um 53 %, wodurch sich die Zahl der betroffenen Organisationen auf rund 13.000 erhöhte. Dies stellt eine dar mehr als 4000 % Steigerung Jahr für Jahr, obwohl der Patch zur Verhinderung von WannaCry seit 2017 verfügbar ist.
Beeinflusst WannaCrypt Mac- oder Linux-Systeme?
WannaCry beruht auf einer Schwachstelle im Server Message Block (SMB)-Protokoll von Windows. Andere Betriebssysteme wie MacOS und Linux nutzen diese Technologie nicht und sind daher nicht anfällig für die Ransomware WannaCry.
Was soll ich tun, wenn mein PC mit WannaCry infiziert ist?
Der allgemeine Konsens zwischen Organisationen wie NCSC, FBI und ACSC besteht darin, dass Sie das Lösegeld nicht zahlen sollten. Die gesamte Gefahr besteht darin, dass Sie den Zugriff auf Ihre Dateien verlieren. Es gibt jedoch keine Garantie dafür, dass die Malware verschwindet, sobald Sie bezahlen, und dies könnte Sie als lukratives Opfer für weitere Angriffe in der Zukunft auszeichnen.
Stattdessen sollten Sie als Erstes Ihr Gerät vom Netzwerk trennen, indem Sie alle Ethernet-Kabel und WLAN-Dongles entfernen. Der nächste Schritt besteht darin, sich an das Technikteam Ihrer Organisation zu wenden und zu prüfen, ob eine Möglichkeit besteht, Ihre Dateien mit dem zu entschlüsseln WannaKey oder Die Kiwis Werkzeuge. Beachten Sie, dass diese Tools nur funktionieren, wenn Sie das System noch nicht neu gestartet haben.
Wenn Sie eine Einzelperson und keine große Organisation sind, ist es leider am besten, einfach Ihren Computer zu formatieren und von vorne zu beginnen oder es mit etwas Ähnlichem zu versuchen Das bootfähige Wiederherstellungstool von Norton (Obwohl Sie dadurch keinen Zugriff auf verschlüsselte Dateien erhalten, selbst wenn es funktioniert)
So verhindern Sie WannaCry-Angriffe
Die einfachste und naheliegendste Vorgehensweise besteht darin, den Sicherheitspatch von Microsoft zu installieren. Es gibt jedoch verschiedene Updates, je nachdem, welche Windows-Version Sie verwenden. Glücklicherweise hat Malwarebytes eine zusammengestellt vollständige Liste für jedes betroffene Betriebssystem, sodass Sie schnell und einfach erkennen können, welches Sie verwenden sollten.
Normalerweise aktualisiert Windows seine älteren Versionen nicht, aber das Ausmaß des WannaCry-Problems war so groß, dass es keine wirkliche Alternative gab. Es gibt jedoch keine Garantie dafür, dass das Gleiche auch dann der Fall sein wird, wenn das nächste Mal eine größere Schwachstelle entdeckt wird. Wir empfehlen daher, so schnell wie möglich auf ein moderneres Betriebssystem umzusteigen.
Sie haben vielleicht gelesen, dass jeder, der Windows Vista, Windows 8, Windows 10 oder eine moderne Windows Server-Version verwendet, nicht anfällig für WannaCry ist. Das stimmt, aber nur, wenn Sie automatische Updates aktiviert haben. Andernfalls müssen Sie Ihr System manuell anweisen, die neuesten Sicherheitsupdates zu installieren. Um dies zu tun, Drücken Sie einfach die Windows-Taste, geben Sie „Update“ ein und drücken Sie die Eingabetaste . Klicken Sie nun auf Auf Updates prüfen und installieren Sie alle angezeigten Dateien.
Abschließend sollten Sie Windows Defender aktivieren, falls es noch nicht aktiv ist, oder ein seriöses Antivirenprogramm installieren. Dadurch wird die Ausführung bösartiger Skripte von vornherein verhindert und die anfängliche DoublePulsar-Infektion vollständig verhindert.
So schützen Sie ein Netzwerk vor Ransomware
Wenn es um den Schutz Ihres Netzwerks geht, sollten Sie Tools in Betracht ziehen, die Angriffe auf Endpunktebene abwehren können.
CrowdStrike Falcon Prevent (KOSTENLOSE TESTVERSION)
Antivirus Systeme blockieren eine Vielzahl von Malware, einschließlich Ransomware. Herkömmliche AVs stützen sich jedoch auf eine Signaturdatenbank, die von einem zentralen Forschungsteam definiert und dann an alle Implementierungen des Softwarepakets verteilt wird. Diese Strategie führt dazu, dass viele Benutzer von der Malware betroffen sind, bevor eine Lösung bereitgestellt wird. Dabei handelt es sich um eine russische Roulette-Lösung, die sich Unternehmen nicht leisten können, wenn es um Ransomware-ähnliche Angriffe geht Ich könnte heulen .
CrowdStrike Falcon Prevent bietet eine bessere Lösung, da es sich um ein AV der nächsten Generation handelt. Es benutzt Anomalieerkennung statt eines signaturbasierten Ansatzes. Mit dieser Strategie verlässt sich das Falcon Prevent-System nicht auf eine Liste von Dateien, nach denen gesucht werden muss, sondern erstellt eine Basislinie normaler Aktivitäten auf dem Endpunkt und sucht dann nach ungewöhnlichem Verhalten.
Sobald das Falcon Prevent-System verdächtige Aktivitäten erkennt, beendet es die beteiligten Prozesse und isoliert die Programme, die sie ausgeführt haben, sodass sie nicht erneut ausgeführt werden oder Abwehrmechanismen auslösen können. Das bedeutet, dass Sie nicht warten müssen, bis andere Unternehmen von der Ransomware angegriffen werden, bevor eine Lösung definiert wird.
Falcon Prevent ist verfügbar für Windows , Mac OS , Und Linux und Sie können es mit einer 15-tägigen kostenlosen Testversion testen.
CrowdStrike Falcon Prevent starten Sie die 15-tägige KOSTENLOSE Testversion
Verwendetes Bild: Porträt, CC BY-SA