Bestimmt haben Sie in den letzten Tagen in den Medien von dem weltweiten Hackerangriff auf verschiedene Systeme, wie unter anderem der Deutschen Bahn, gehört.
Gerne möchten wir Ihnen einen kurzen Überblick hierzu geben:
Es handelt sich hierbei um keinen gezielten „Hackerangriff“ sondern um einen sich selbstverbreitenden Wurm, der sich über eine Windows Schwachstelle über Remote Code Execution selbständig in Systeme einnistet und anschließend die Ransomware WannaCry (Verschlüsselungstrojaner) platziert.
Fakten:
- Nutzt Schwachstelle in Windows Systemen MS17-010 / Diese Schwachstelle wurde bis Februar 2017 vom amerikanischen Geheimdienst NSA genutzt
- Seit Februar´17 wurde in den NSA-Leaks Dokumenten darüber berichtet à Seit März gibt es bereits einen Windows Patch dafür (sogar für alte XP Maschinen)
- Der VerschlüsselungsTrojaner „WannaCry“ wurde jetzt über diese bereits bekannte Schwachstelle verbreitet
- Durch Reverse-Engineering Mechanismen konnte herausgefunden werden, dass die erste Variante sowas wie einen Totmann-schalter besaß. Heißt, vor Starten des Virus wurde abgefragt ob eine Webseite existiert
- Erste „Viren-Welle“ konnte durch Registrieren einer solchen Seite eingedämmt werden. Momentan sind aber bereits Versionen im Umlauf die dieses Feature nicht mehr besitzen
- Hauptsächlich gefährdet ist jeder Computer ohne aktuelle Updates. Dies betrifft aber vor allem Krankenhäuser / Industriesysteme. Generell alles Systeme die oft nach dem Motto „never touch a running system“ betreut werden.
Schutzmaßnahmen:
- Automatische Windows Updates aktivieren à bei älteren XP Maschinen manuelles Update MS17-010 einspielen
- Ein standardmäßiger Virenscanner schützt NICHT vor der Schwachstelle an sich, es kann Signaturbasiert evtl. nur das Ausführen bereits bekannter Virenarten blockieren.
- ABER es gibt Anti-Malware Lösungen unserer Hersteller die bereits für solche Angriffe ausgelegt sind. Sollten keine Updates installiert sein und Viren ins System gelangen, dann kann dadurch der Virus sofort geblockt, oder falls nicht geblockt (weil noch unbekannt) dann zumindest die Verschlüsselung erkannt und gestoppt werden.
- PatchManagement Lösungen anschaffen
- Regelmäßige Backups
- Security Konzept erstellen / überarbeiten => Security besteht nicht nur aus Produkten – es braucht Prozesse
Bei Fragen wenden Sie sich gerne an Herrn Benedikt Thudium Tel. 0721 35460-33
Der Beitrag Information zur aktuellen Virenwelle „WannaCry“ erschien zuerst auf n-komm GmbH.