Ransomware/Wurm WannaCry

14. Mai 2017

Seit 12. Mai gibt es eine massive Welle von Ransomware-Vorfällen durch "WannaCry" (auch WanaCrypt0r oder WannaCrypt genannt). Durch das Ausnutzen einer Schwachstelle in Windows-Fileservern kann die Malware direkt auf diesen aktiv werden und sich weiterverbreiten.

Beschreibung

Ransomware ist kein neues Phänomen, dieses "Geschäftsmodell" wird schon seit Jahren erfolgreich benutzt, um Geld zu erpressen. Die Liste der bekannten Ransomware-Varianten ist lang, bekannte Namen sind Locky, CryptoLocker, TeslaCrypt, Samsam oder Reveton. Computer-Würmer sind auch nichts Neues, darunter versteht man Programme, die sich selbstständig weiterverbreiten. Dazu enthalten sie eine Komponente, die aktiv nach einer Schwachstelle in anderen Computern sucht und diese ausnutzt, um sich selber dorthin zu kopieren und zu starten. Beispiele für Würmer sind ILOVEYOU, Code Red, Nimda, SQL Slammer, Conficker oder Mirai.

"WannaCry" ist die erste Kombination von Ransomware mit den Fortpflanzungsmöglichkeiten eines Wurmes.

Die Ransomware-Komponente ist nichts Neues oder besonders Innovatives. Die Wurm-Komponente basiert auf einem Fehler in der Fileserver (SMB) Implementation von Windows. Dieser Fehler wurde als MS17-010 im März 2017 von Microsoft im Rahmen des monatlichen Patchdays für alle noch betreuten Versionen von Windows gefixt. Am 14. April 2017 wurde ein Exploit (Codename EternalBlue) für diese Schwachstelle im Rahmen der Dumps von Shadow Brokers bekannt.

Ob es neben der Verbreitung per SMB noch einen weiteren Weg für die initiale Infektion gibt, ist mit Stand 13.5.2017 noch nicht zweifelsfrei geklärt. Einige Quellen sprechen von typischen Phishing-Emails mit Attachments die Macros oder Scripting-Code enthalten (etwa .hta oder .docm Files, die eventuell auch noch in anderen Files eingebettet sind). Das FBI erwähnt das Remote Desktop Protocol (RDP) als möglichen Vektor.

Auswirkungen

Die zusätzliche Wurm-Funktionalität hat zu deutlich schwereren Schadensfällen im Vergleich zu klassischer Ransomware geführt. Waren bisher primär Windows-Clients und die von den Usern schreibbaren Fileshares betroffen, so erreichte WannaCry auch Systeme, die bisher verschont blieben und kann durch das Ausnutzen von MS17-010 auch mit erhöhten Rechten laufen.

Diese Kombination hat dazu geführt, dass es global zu einigen signifikanten IT-Ausfällen gekommen ist.

Betroffene Systeme

Durch die Wurm-Funktionalität sind alle Windows-Fileserver gefährdet, die nicht den MS17-010 Patch eingespielt haben (und auch neu gestartet wurden). Im März wurde dieser Patch nur für die noch gewarteten Windows-Versionen veröffentlicht, damit bekamen etwa Windows XP oder Windows Server 2003 diesen Fix nicht und sind daher akut gefährdet.

Abhilfe

  • Einspielen von MS17-010. Microsoft hat inzwischen auch für ältere Systeme die Patches freigegeben. Diese sollten dringend auf allen Systemen, die als Fileserver aktiv sind, angewendet werden.
  • Generische Ransomware Abwehr. Da der initiale Vektor noch nicht bekannt ist, sollte die Abwehrstrategie gegen jegliche Infektionen überprüft und nachgeschärft werden. Insbesondere aktive (Macros, Scripte, ...) Inhalte in eingehenden Mails sollten gefiltert werden. Funktionierende und aktuelle Backups sind ein essentieller Teil der Ransomware-Abwehr: Dies ist ein guter Anlass, dieses Thema zu überprüfen. Auch eine Einschränkung der Programmausführung aus TEMP Verzeichnissen könnte helfen.
  • Abdrehen von SMBv1. Diese alte Version des Filesharing-Protokolls sollte nicht mehr aktiv sein. Siehe Microsoft Knowledge Base Artikel 2696547.
  • Erreichbarkeit von SMB Servern von außen verhindern. Windows Fileserver sollten nicht aus dem Internet erreichbar sein. Eingehende Anfragen auf Port 445 sollten daher von der Firewall unterbunden werden.
  • Isolieren von unpatchbaren Systemen. Falls ein Windows-System nicht gegen die SMB-Lücke gepatcht werden kann, so muss dieses System vom Rest des internen Netzes isoliert werden.
  • Spezielle Anti-WannaCry Tools. Die aktuelle Version von WannyCry lässt sich durch ein paar technische Tricks stoppen. Das basiert auf Tests innerhalb der Malware, die eine Doppelinfektion verhindern sollen, oder aber die Analyse in Testsystemen erschweren sollen. Achtung: es ist trivial für den Urheber der Malware, eine neue Version zu verbreiten, die diese Maßnahmen aushebelt. Laut ersten Meldungen ist das bereits passiert.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, für alle Arten von Browser-Plugins (Flash, Java, ...) auf die "Click-to-play"-Funktionalitäten von Internet-Browsern zurückzugreifen, sowie parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Hinweise von Microsoft
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
MS17-010
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
Blogpost von Malwarebytes
https://blog.malwarebytes.com/cybercrime/2017/05/wanacrypt0r-ransomware-hits-it-big-just-before-the-weekend/
Analyse von Malwarebytes
https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/
Tool von CCN-CERT
https://loreto.ccn-cert.cni.es/index.php/s/tYxMah1T7x7FhND
Blog von Comae
https://blog.comae.io/wannacry-the-largest-ransom-ware-infection-in-history-f37da8e30a58
Kaspersky
https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/
Bleeping Computer
https://www.bleepingcomputer.com/news/security/wana-decryptor-wanacrypt0r-technical-nose-dive/
FOX IT
https://blog.fox-it.com/2017/05/12/massive-outbreak-of-ransomware-variant-infects-large-amounts-of-computers-around-the-world/
The Hacker News zu WannaCry 2.0
http://thehackernews.com/2017/05/wannacry-ransomware-cyber-attack.html