Fidelis Cybersecurity informiert: 5 konkrete Handlungsempfehlungen zur Ransomware "WannaCry"

Von Oliver Keizers, Regional Director DACH, Fidelis Cybersecurity

München, (PresseBox) - Der am Freitag bekannt gewordene Ransomware Angriff mit den Namen „WannaCry“ auf Rechnersysteme weltweit – in Deutschland sind u.a. die Deutsche Bahn, Schenker, aber auch zahllose kleine Unternehmen und Privatcomputer betroffen – hat nach Presseberichten nie zuvor dagewesenen Ausmaße an Geschwindigkeit und Verbreitung erreicht.

Während der Kern der Berichterstattung heute meist noch das „Wie?“ sein wird, möchten wir hiermit das „Was tun?“ beantworten:


Umgehend den Patch MS17-010 (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx) Wer noch Windows XP, Windows 8, oder Windows Server 2003 nutzt findet unter https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ weitere Informationen.
Auf der Firewall die TCP Ports 137, 139 und 445 und UDP Ports 137 und 138 blockieren, über welchen die Kommunikation mit den Backend Services des Schadcodes läuft.
Server Message Block (SMB) Deaktivieren: Folgen Sie den Anleitungen von Microsoft um SMB zu deaktivieren. https://support.microsoft.com/en-in/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
Der Schadcode in der aktuellen Version hat einen Kill-Switch und lässt sich beenden durch eine URL Abfrage auf: www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. Eine neuere Version benutzt jedoch auch die URL www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. Wer einen Proxy im Unternehmen einsetzt, muss sicherstellen, dass diese URLs erreichbar sind oder ein Redirect auf ein eigenes Sink-Hole mit einer validen Antwort auf eine Webanfrage einrichten. (Trittbrettfahrer haben mittlerweile auch Versionen ohne diesen Kill-Switch gehackt, so dass dies alleine nicht ausreichend ist.)
Der Schadcode kommuniziert mit seinen Command & Control Servern über das Tor Protokoll, welches deshalb am Perimeter unbedingt geblockt werden muss. Bisher bekannte C&C Server sind


a. cwwnhwhlz52ma.onion
b. gx7ekbenv2riucmf.onion
c. xxlvbrloxvriy2c5.onion
d. 57g7spgrzlojinas.onion
e. 76jdd2ir2embyv47.onion

Dass unbedingt die jeweiligen Updates für Anti-Virus und Anti-Ransomware Software eingespielt werden müssen, sollte nicht erwähnt werden müssen, sondern selbstverständlich sein. Auch eine funktionierende Backup-Strategie ist immer eine gute Sache.

Erkennungsmethoden für „WannaCry“

Prozesse des Schadcodes lassen sich durch geeignete Tools am Endpunkt erkennen, indem die folgenden vier Erkennungsmerkmale aktiviert werden:

a. Shadow Copy: delete
b. Persistence: File created in roaming startup folder.
c. Behavior: Process executed by cmd.exe /c start
d. Behavior: Filename with one character

Ebenso erstellt der Schadcode auf dem Endpunkt Registry Einträge, über welche er erkennbar ist:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\ = “\tasksche.exe”
HKLM\SOFTWARE\WanaCrypt0r\\wd = “”
HKCU\Control Panel\Desktop\Wallpaper: “\@WanaDecryptor@.bmp”

Es ist jedoch zu beachten, dass die Empfehlung die Ports zu blockieren nur vor dem SMB-Wurm schützen. Sollten Sie den Schadcode via E-Mail, einem böswilligen Torrent oder andere Angriffsvektoren außerhalb des SMB-Protokolls erhalten haben, so gilt zumindest die Aufforderung des Patches von Microsoft weiterhin und unbedingt.

Fidelis hat für Unternehmen entsprechende Yara-Regeln zur Erkennung verfügbar gemacht, welche unter der URL https://raw.githubusercontent.com/felmoltor/rules/5be0f43f2fca0b5ff0e385534da9a94c273c172f/malware/malw_ms17-010_wannacrypt.yar geladen werden können.

Der Angriff ist jedoch noch nicht ausgestanden oder gar beendet, da zwar diese Welle durch den Kill-Switch beendet wurde, aber jederzeit eine neue Angriffswelle den selben Exploit ausnutzen kann. Ohne die Umsetzung dieser Empfehlungen ist die Gefahr hoch, weiterhin für diese Sicherheitslücke verwundbar zu sein.

Finn Partners




Diese Pressemitteilungen könnten Sie auch interessieren

Weitere Informationen zum Thema "Sicherheit":

LPWAN-Sicherheit in der Fertigungs- und Verarbeitungsindustrie

Ein Low-Po­wer-Wi­de-Area-Netz­werk mit in­tel­li­gent ver­netz­ten Sen­so­ren und Da­ten eig­net sich bes­tens für die In­du­s­trie. Vor­aus­ge­setzt, die Si­cher­heit­sa­spek­te wer­den ein­ge­hal­ten.

Weiterlesen

News abonnieren

Mit dem Aboservice der PresseBox, erhalten Sie tagesaktuell und zu einer gewünschten Zeit, relevante Presseinformationen aus Themengebieten, die für Sie interessant sind. Für die Zusendung der gewünschten Pressemeldungen, geben Sie bitte Ihre E-Mail-Adresse ein.

Es ist ein Fehler aufgetreten!

Vielen Dank! Sie erhalten in Kürze eine Bestätigungsemail.


Ich möchte die kostenlose Pressemail abonnieren und habe die Bedingungen hierzu gelesen und akzeptiert.