WannaCry: Angriff durch Krypto-Trojaner auf Windows Geräte
Am Freitagabend kamen die ersten Meldungen aus Großbritannien: Rechner des nationalen Gesundheitssystems wurden von einer Ransomware infiziert. Mittlerweile hat sich WannaCry weltweit verbreitet. Es handelt sich hierbei um einen Krypotrojaner, der Daten auf den betroffenen Computern verschlüsselt. Am 9. Mai soll der Nutzer den Code für die Entschlüsselung erhalten, ansonsten sei die Löschung veranlasst. Die Zahlung sollten in Bitcoin vollzogen werden. Bislang haben 126 Opfer 30.000€ gezahlt. Weltweit sollen zur Stunden mehr als 220.000 Systeme betroffen sein. Anders als Locky & Co springt der Schädling von einem infizierten Rechner auf andere, über das Netz erreichbare Windows-Systeme über. In Deutschland wurden vom Bundeskriminalamt BKA Ermittlungen aufgenommen.
Vor allem ältere Windows-Versionen betroffen
Vor allem ältere Windows-Versionen, die nicht mehr mit Sicherheits-Updates versorgt werden, sind betroffen. Sehr schwere Folgen hatte dies in Großbritannien, wo WannaCry zahlreiche Rechner des National Health Service (NHS) befallen hat. Patienten berichteten von chaotischen Zuständen. Viele Kranke mussten in andere Kliniken umgeleitet werden. Auch Krebs- und Herzpatienten, deren Daten nicht zur Verfügung standen, wurden von Kliniken nach Hause geschickt. Erst zum Samstagabend normalisierte sich die Lage weitgehend. In Großbritannien nahm die Kritik an mangelhaften Sicherheitsvorkehrungen des Nationalen Gesundheitsdienstes NHS (National Health Service) zu. Innenministerin Amber Rudd sagte, der NHS müsse seine IT-Systeme dringend besser schützen. Autohersteller Nissan hat gegenüber britischen Medien einen Befall der Fabrik in Sunderland bestätigt.
Auch in anderen Ländern werden Unternehmen infiziert. In Spanien und Portugal sind zum Beispiel die großen Netzbetreiber Telefónica und Telecom betroffen. Aus den USA meldet der Logistikriese FedEx eine Infektion. Hierzulande hat es bisher vor allem die Deutsche Bahn betroffen, deren Anzeigesystem auf vielen Bahnhöfen ausgefallen ist. Auch bei anderen Unternehmen wurden Fahrschein- und anderen Unternehmen wurden Fahrschein- und andere Automaten infiziert; ein Leser schickte ein Bild von einem betroffenen Bezahlautomaten im Parkhaus des Berliner Flughafens Tegel.
Zwei Angriffsvektoren
Nach bisherigen Erkenntnissen nutzt WannaCry zwei Angriffsvektoren: Einmal verbreitet sich – wie bei Kryptotrojanern üblich – per E-Mail. So geschah laut einem DB-Sprecher die Infektion der Bahn per E-Mail. Wenn der Schädling ein System infiziert hat, versucht er auch, wie ein Wurm andere Rechner im gleichen Netz zu komptomittieren. Dafür nutzt WannaCry eine Lücke in Windows Dateifreigaben (SMB). Diese Lücke war bekannt geworden, nachdem die Hackergruppe Shadow Brokers einige Exploits der NSA-nahen Equation Group veröffentlicht hatte. Der Exploit, der die von WannaCry genutzte Lücke ausnutzt, ist unter dem Namen EternalBlue bekannt.
Microsoft hat die Sicherheitslücke im März bereits durch Sicherheits-Updates geschlossen. Diese Patches liefert der Hersteller jedoch nur für die aktiv unterstützen Windows-Versionen. Ältere Windows-Versionen blieben also weiter ungeschützt – dazu gehören Windows XP und Windows Server 2003. Updates für diese hat das Unternehmen am Samstag kurz nach Ausbruch der WannaCry-Epidemie nachgereicht. Manche Anwender schalten allerdings die automatische Installation von Sicherheits-Updates ab, was dazu führt, dass derartige Lücken offen bleiben.
Unbedingt Patchen!
Nutzer sollten Windows-Sicherheitspatches grundsätzlich immer installieren. Wer Microsofts Sicherheitsupdate MS17-010 noch nicht installiert hat, muss dies zeitnah nachholen. Das gilt auch für Besitzer älterer, nicht mehr offiziell supporteter Windows-Versionen wie XP. Wer so einen Rechner am Netz betreibt, setzt sich einem erhöhten Risiko aus und sollte ernsthaft darüber nachdenken, ein aktuelles Betriebssystem zu nutzen. Windows-10-Installationen sind bisher nicht von WannaCry betroffen.
Besonders für Unternehmen ist es jetzt empfehlenswert, sich um die Sicherheit ihrer IT zu kümmern. Der aktuelle Angriff sei „ein erneuter Weckruf für Unternehmen, IT-Sicherheit endlich ernst zu nehmen und nachhaltige Schutzmaßnahmen zu ergreifen.“, sagte Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). Das BSI ruft zudem betroffene Institutionen auf, Vorfälle zu melden, um einen möglichst vollständigen Überblick über die Lage zu bekommen.
Kein Ende in Sicht
Für den Anfang der Woche wird eine neue Welle mit Infektionen befürchtet, vor allem durch veraltete Rechner mit Windows XP, die nach wie vor in Verwendung sind. Microsoft ruft dringend dazu auf, die aktuellen Patches möglichst sofort zu installieren. Der Bundesminister für digitale Infrastruktur, Alexander Dobrindt, fordert Verschärfungen der Meldepflichten bei solchen Vorfällen, die noch über das hinausgehen, was dem BSI bislang vorschwebt: Für Deutschland sei der Schutz der kritischen Infrastrukturen mittlerweile „zu einer existenziellen Frage geworden“; Unternehmen müssen das IT-Sicherheitsniveau bei den kritischen Infrastrukturen erhöhen.
Microsoft hat mittlerweile auch schwere Vorwürfe gegen Regierungen erhoben – WannaCry nutzt zu seiner eigenständigen Verbreitung eine Sicherheitslücke, die von der NSA entdeckt, aber nicht an Microsoft zur Behebung weitergeleitet wurde. Microsoft-Justiziar Brad Smith forderte von den Regierungen, diesen Angriff als Weckruf zu betrachtet und gefundene Lücken sofort an die Hersteller zu melden, statt sie bei den Geheimdiensten zu horten.
Wegducken sinnlos
Doch gerade mit seiner geringen Effizienz belegt WannaCry, wie wichtig konsequenter Schutz vor Schadsoftware ist. Offensichtlich attackieren Computerkriminelle nicht mehr nur Systeme, bei denen sie besonders hohe Erträge vermuten, sondern wahllos alle erreichbaren Rechner. Somit steigt die Wahrscheinlichkeit, dass aggressive Schädlinge auch auf “unscheinbare” oder selten genutzte Computer gelangen.
Die incoperating als Ansprechpartner bezüglich IT-Sicherheit
Wenn Sie allgemeine Fragen zu diesem Thema haben, können Sie uns gerne per E-Mail kontaktieren oder uns anrufen. Als IT-Dienstleister in München ist die incoperating der richtige Ansprechpartner bezüglich IT-Sicherheit, IT-Support, Firewalls, Software etc. Wenn Sie sich für die saubere Durchführung des aktuellen Windows-Updates in Ihrem Unternehmen interessieren oder gar von älteren Versionen Ihres Windows-Betriebssystems eine Migration auf die aktuellste Windows 10 Version anstreben bzw. allgemeine Fragen zu dem Thema haben, können Sie uns gerne per E-Mail kontaktieren oder anrufen. Die incoperating ist spezialisiert auf Migrationen von Betriebssystemen oder auch Software wie beispielsweise Office. Kostenlose und unverbindliche Erstberatungstermine verschaffen Ihnen zudem ein genaues Bild von uns. Gleichzeitig lernen Sie die incoperating so näher kennen und haben dabei auch die Möglichkeit, die Servicedetails und Vertragsmöglichkeiten kennenzulernen und zu besprechen.
Originalartikel: https://www.heise.de/newsticker/meldung/WannaCry-Was-wir-bisher-ueber-die-Ransomware-Attacke-wissen-3713502.html