- Anzeigen -


Sie sind hier: Home » Markt » Kommentare & Meinungen

Zahl der Opfer von WannaCry imposant


Warum wir von Ransomware nicht wirklich überrascht sein sollten
Der WannaCry-Wurm erinnert die Menschen daran, dass sie schnell vergessen

- Anzeigen -





Ein Kommentar zur aktuellen Ransomware-Welle von Michael Veit, Security-Experte bei Sophos

"Es ist ziemlich aggressiv und vermehrt sich sehr schnell" – das könnte die Aussagen eines gestressten System-Administrators sein, der vergangene Woche von der WannaCry (Wanna Decryptor) Ransomware betroffen war. Tatsächlich ist dies aber ein Statement, das ein Security-Experte vor 13 Jahren zu einer neuen Variante des Sasser-Wurms gab. WannaCry zielt auf nicht gepatchte Windwows SMB-Fehler. Genauso wie seinerzeit 2004 Sasser auf nicht gepatchte Windows Exploits in lokalen Security Authority Subsystem Services (LSASS – daher "Sasser") aus war, die ironischerweise ein Teil des Betriebssystems sind, das Security-Einstellungen verwaltet.

Zwar denkt man, dass die Zahl der Opfer von WannaCry imposant ist, doch von Sasser waren so bekannte Unternehmen wie die Deutsche Post, die EU-Kommission und Delta Airlines – um nur ein Auswahl zu nennen – betroffen. Kurioserweise wurde Sasser eher als harmlos denn als existenzbedrohend eingestuft, da es nach einer Reihe an Mega-Würmern wie ILOVEYOU, Nimda, Welchia, Nesky, SoBig, Blaseroder oder SQL Slammer erschien. Viele dieser Schadprogramme nutzten Microsoft-Schwachstellen aus und sorgten für so viel Ärger, dass man sich schwor: "Nie wieder!"

Doch 2008 erschien mit Conficker der nächste große Wurm auf der weltweiten Bühne, der auch drei Jahre danach noch 1,7 Millionen Systeme pro Jahr infizierte. Was war das für eine Welt, in der der Sasser-Wurm hunderttausende Netzwerke infizierte und lediglich als bloßes Ärgernis angesehen wurde? Anscheinend ein Welt, in der Würmer üblich waren und deren Ära wir als "Goldenes Malware-Zeitalter" bezeichnen könnten. Experten wissen, warum Würmer zu Beginn der 2000er so erfolgreich waren: Das Internet ermöglichte die rapide Infektion und Patching steckte noch in den Kinderschuhen. Wenn etwas möglich wird, wird es irgendwann jemand versuchen. Nicht lange danach wird jemand es kopieren und so geht der Zyklus weiter.

Würmer sind in den letzten Jahren selten geworden. Vielleicht deshalb, weil Cyberkriminelle Stealth-Attacken mittlerweile als die bessere Angriffstaktik sehen. Und doch bleibt die Verteidigung gegen Würmer schwierig. Admins können Dienste oder Ports auf Firewall-Ebene blockieren, aber oft nicht unbegrenzt. Das Aufhalten und Checken von E-Mails ist eine weitere Taktik, die aber oft nur solange funktioniert, bis sich alle beklagen.

Der WannaCry-Wurm erinnert die Menschen daran, dass sie schnell vergessen. Der Mensch hat sich zur Gewohnheit gemacht, von neuer Malware, die thematisch alt ist, überrascht zu werden. Und beim nächsten Mal kann es aber noch schlimmer werden, wie ein Blick in die jüngere Vergangenheit zeigt. 2012 wurde zum Beispiel die Saudi Aramco Oil Company von einer Malware namens Shamoon angegriffen, die sehr schnell die Master Boot Record (MBR) von 35.000 PC-Festplatten enterte. Und auch danach gab es immer wieder derartige Attacken, die sehr zeitraubend und teuer für die betroffenen Unternehmen sind.

Eine Malware, die die Zerstörung von Festplatten mit einem Wurm kombiniert, kann nicht nur Tage sondern Wochen der Unterbrechung verursachen, und es kostet viel Geld, die Schäden zu beheben – vom Vertrauensverlust noch gar nicht gesprochen. Wir alle sollten aus der Historie lernen und die entsprechenden Konsequenzen ziehen. Wirklich jetzt! (Sophos: ra)

eingetragen: 22.06.17
Home & Newsletterlauf: 07.07.17


Sophos: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Kommentare und Meinungen

  • Identität des Autos im Visier

    Die Gefahr von Hackerangriffen auf Fahrzeuge stellt eine ernstzunehmende Herausforderung für Automobilhersteller dar. In Anbetracht der langen Produktlebenszyklen von Fahrzeugen gilt es schon jetzt, auf zukünftige technologische Entwicklungen wie Quantum-Computing vorbereitet zu sein. Denn auch Cyberkriminelle werden das Potenzial für ihre Zwecke nutzen.

  • Drive-By-Infektionen als Adobe Flash-Update

    Bislang macht die Bad Rabbit-Ransomware vor allem durch ihren auffälligen Namen von sich reden. Der Crypto-Trojaner selbst erscheint technisch nicht besonders bemerkenswert, so nutzt er etwa keinen neuen oder kreativen Angriffs-Vektor. Bemerkenswert ist allerdings, dass es immer noch Unternehmen und Organisationen gibt, die nichts aus den letzten Ransomware-Wellen gelernt zu haben scheinen. Offensichtlich bedient sich Bad Rabbit der Waterhole-Methode, d.h. die Malware wird durch infizierte Internet-Seiten, auf die die anvisierten Ziele häufig zugreifen, verbreitet. Diese Drive-By-Infektionen werden als Adobe Flash-Update getarnt und auf diese Weise unbedarfte Nutzer dazu verleitet, die Schadsoftware herunterzuladen. Mit Applikations-Whitelisting, aktuellen Browsern und Standard-Sicherheitssoftware sollte eigentlich eine Infektion vermieden werden. Dass wir trotzdem von betroffenen Unternehmen hören, etwa der Nachrichtenagentur Interfax, wirft ein schlechtes Bild auf die Sicherheitspraxis zahlreicher Firmen und Institutionen.

  • Ausbreitung von Bad Rabbit

    Die unter dem Namen "Bad Rabbit" bekannt gewordene Ransomware hat bereits einiges an medialer Aufmerksamkeit erlangt. Die ersten Opfer waren vornehmlich russische Nachrichtenagenturen und andere Institutionen in Russland und der Ukraine. Andrew Clarke, One Identity, kommentiert.

  • Zertifizierung muss auf offene Normen setzen

    Die Europäische Kommission hat einen Regulierungsvorschlag veröffentlicht, der auch einen künftigen Europäischen Zertifizierungs- und Kennzeichnungsrahmen für IKT-Sicherheit betrifft. Er soll die Sicherheitseigenschaften von Produkten, Systemen und Diensten, die bereits in der Entwurfsphase ("security by design") integriert sind, verbessern. Die gute Absicht ist erkennbar, zumal ein erhöhter Schutz der Bürger und Unternehmen durch bessere Cybersicherheits-Vorkehrungen erstrebenswert ist. Dennoch hat der Vorschlag erhebliche fachliche Mängel. Darüber hinaus mangelt es an Offenheit und Transparenz, wie man sie von Normensetzung erwarten kann, die der Unterstützung der EU-Gesetzgebung dienen soll.

  • Generelle Problematik der Verschlüsselung lösen

    Wir dürfen gespannt sein, wie die neue Bundesregierung die vom letzten Kabinett angepeilte "Datenordnungspolitik" weiter vorantreibt. Neben dem Breitbandausbau wird das besonders in Bezug auf Verschlüsselung spannend - nicht nur wegen der NSA-Affäre sondern auch, um sich als Vorreiter der Digitalisierung zu positionieren. Ziel der großen Koalition war es, Deutschland zum Verschlüsselungsstandort Nummer eins zu machen und dem Bürger die sichere elektronische Kommunikation mit den Behörden zu ermöglichen. Ist dies gelungen? Wohl nur teilweise, denn die Politik hat mit dem De-Mail-Gesetz zwar Regelungen zur verschlüsselten Kommunikation erlassen. Das Ziel ist jedoch noch lange nicht erreicht, und dass andere Länder, darunter auch die Schweiz, gesicherte elektronische Kommunikation noch nicht in der Gesetzgebung verankert haben, ist wahrscheinlich nur ein schwacher Trost.