EternalRocks nutzt mehr Schwachstellen als WannaCry
Der kürzlich entdeckte Wurm EternalRocks kombiniert sieben der von den Shadow Brokers veröffentlichten NSA-Exploits. Anders als WannaCry transportiert er bislang keine Ransomware oder dergleichen. Die Hintermänner könnten möglichst zahlreiche Infektionen anstreben, um erst dann ihre bösartigen Ziele umzusetzen. Außerdem versucht Eternal Rocks besonders geschickt, seine Entdeckung zu vermeiden.
EternalRocks stellt derzeit noch keine ernsthafte Bedrohung dar, da er bislang keine Ransomware oder ähnliche Schadsoftware transportiert. Er lässt schädliche Elemente vermissen, verschlüsselt keine Dateien und nimmt infizierte Computer nicht in ein Botnetz auf. Sicherheitsforscher befürchten aber, dass die Hintermänner mit dem Wurm zunächst für möglichst zahlreiche Infektionen sorgen und ihn dann „scharfmachen“ wollen. Die Rede ist von einem „Doomsday“-Wurm, der überraschend zuschlagen könnte.
Entdeckt wurde der Wurm, der ein ganzes Sammelsurium von Schwachstellen nutzt, vom Sicherheitsexperten Miroslav Stampar vom kroatischen CERT. EternalRocks machte sich sogar schon am 3. Mai erstmals bemerkbar, berichtet Stampar in seiner Beschreibung auf GitHub. Auf den Wurm aufmerksam wurde er, als dieser eine Honeypot-Falle infizierte.
EternalRocks setzt EternalBlue, DoublePulsar, EternalChampion, EternalRomance, Eternal Synergy, ArchiTouch und SMBTouch ein. Alles von den Shadow Brokers öffentlich gemachte Exploits des US-Auslandgeheimdienstes NSA. Auch die auf die SMB-Lücke ausgerichteten Exploit EternalBlue mit einer Backdoor namens DoublePulsar.
Anders als die Ransomware WannaCry, die Dateien verschlüsselt und Opfer zur Zahlung eines Lösegelds auffordert, bleibt EternalRocks verborgen und verhält sich zunächst ruhig. Es lädt den Tor-Browser herunter und schickt ein Signal an versteckte Server. Dann folgt eine 24-stündige Sendepause, mit der die Hintermänner offenbar eine Analyse durch Sicherheitsforscher erschweren wollen. Erst einen Tag später reagiert der Server, die Weiterverbreitung des Wurms beginnt.
Schutz durch die Produkte unserer Partner Bitdefender und Sophos
Anwender, die von der aktuellen Ransomware-Welle bedroht sind, die aktuell Windows Computer in mehr als 70 Ländern angreift, können nach Expertenmeinung ihre Systeme mit Security-Software, wie etwa von unserem Partner Bitdefender, schützen. Außerdem sollten diese sicherstellen, dass sie die neuesten Patches von Microsoft installiert haben. Des Weiteren hat unser Partner Sophos seine Next Generation CryptoGuard Anti-Ransomware-Technologie jetzt auch in die Produktpalette der Sophos Server Protection integriert. Damit verfügt ab sofort auch die Server-Security über die signaturlose Erkennung von Ransomware. Diese wurde beim Endpoint-Schutz bereits mit Sophos Intercept X Mitte 2016 integriert.
Die incoperating als Ihr Ansprechpartner bezüglich IT-Sicherheit
Sollten Sie weitere Fragen zu den Themen Ransomware, Viren oder IT-Sicherheit allgemein haben, können Sie sich gerne schriftlich sowie telefonisch bei uns melden. Als IT-Dienstleister in München, ist die incoperating der richtige Ansprechpartner zu den Themen IT-Sicherheit, IT-Support, Firewalls, Software, Server-Betrieb, Migrationsprojekte etc. Auch in den Bereichen Firewalls, Anti-Spam und Benutzerverwaltung sowie Berechtigungsmanagement ist die incoperating mit ihrem Leistungsportfolio vertreten. Zudem bieten wir kostenlose und unverbindliche Erstberatungstermine, wenn Sie sich für unseren IT-Support interessieren. Dies wäre für Sie auch eine Möglichkeit uns und unsere Servicedetails sowie Vertragsmöglichkeiten kennenzulernen und besprechen.
Originalartikel: http://www.zdnet.de/88297887/nsa-exploits-eternalrocks-nutzt-mehr-schwachstellen-als-wannacry/