WannaCry abhaken - irgendwie zumindest

23.05.2017
G DATA Blog

Nachdem die große Infektionswelle am 12. Mai tausende Computer weltweit getroffen hat, werfen wir einen Blick zurück auf das, was WannaCry uns gelehrt hat und einige Punkte, die für viele eine Überraschung waren.

Echo aus der Vergangenheit

Zunächst einmal steht außer Frage, dass WannaCry in mehrfacher Hinsicht ein bemerkenswerter Fall ist. Zwar bewegt sich die Zahl betroffener Rechner weltweit auf über 200.000, damit ist WannaCry aber bei weitem nicht der größte Malware-Ausbruch aller Zeiten. Was jedoch die Geschwindigkeit und Aggressitivät der Verbreitung angeht, kann WannaCry sich durchaus mit Schädlingen wie Sasser oder Blaster messen. Zum Vergleich: 2003 hat der "Blaster"-Wurm weltweit mehrere Millionen Rechnersysteme befallen.

WannaCry hat sich waldbrandartig auf der ganzen Welt verbreitet und innerhalb von 12 Stunden etwa 74.000 PCs infiziert. Einer der entscheidenden Faktoren, der zu der hohen Verbreitungsgeschwindigkeit wesentlich beigetragen hat, ist die Nutzung von Exploit-Code, der aus einigen geleakten Dokumenten des US-Geheimdienstes NSA stammen. Eine Sammlung solcher Exploits wurde im April von der Hacker-Gruppe "ShadowBrokers" öffentlich gemacht. Teil dieser Sammlung war ein Exploit namens “ETERNALBLUE”, der eine Sicherheitslücke im weit verbreiteten SMB-Protokoll ausnutzt. Das Protokoll wird in Microsoft Windows für die Datei- und Ordnerfreigabe genutzt.

Hier sehen wir eine Gemeinsamkeit zwischen Sasser und WannaCry, auch wenn die beiden ansonsten technisch nicht miteinander verwandt sind; es macht deutlich, dass die Nutzung von SMB-Sicherheitslücken keine Erfindung der Macher von WannaCry ist. Erschwerend kommt hinzu, dass Sasser zu einer Zeit zugeschlagen hat, zu der es noch keine automatischen Windows-Updates gab. So war auch damals bereits ein Patch für die zugrundeliegenden Sicherheitslücken verfügbar - da Benutzer diesen aber selbst herunterladen und installieren mussten, fehlte er auf vielen Systemen einfach. Wären die Updates damals bereits so automatisiert gewesen, wie es heute üblich ist, hätte Sasser weitaus weniger Auswirkungen gehabt als es schlussendlich der Fall war.
Ironischerweise war auch für die SMB-Sicherheitslücke, welche Teil der NSA-Werkzeugsammlung war, ein Patch verfügbar - schon im März. Microsoft war noch eher auf die Lücke aufmerksam geworden - der Ausfall des Februar-Patchdays war ein direktes Resultat daraus, welches den Entwicklern genug Zeit verschaffte, die Sicherheitslücke zu schließen. Systeme, die das März-Update installierte hatten, waren nicht durch die WannaCry-Angriffe gefährdet.

Unerwünschte Erbschaft - Legacy-Software und ungepatchte Systeme

Maschinen, auf denen das Update nicht installiert war, waren in ernsthafter Gefahr, infiziert zu werden. Das zwang einige Firmen zu drastischen Maßnahmen: in einigen Fällen wurden die Mitarbeiter gebeten, ihre Rechner sofort herunterzufahren und vorerst nicht zu benutzen, um eine Ausbreitung der Infektion zu verhindern.  Ungepatchte Maschinen waren jedoch nicht das einzige Problem an dieser Stelle: die Sicherheitslücke blieb auf alten, nicht mehr unterstützten Versionen von Microsoft Windows ungepatcht, wie auf Windows XP, Server 2003 oder Windows 8. Zumindest war das der Fall, bis Microsoft einen außergewöhnlichen Schritt unternahm und ein "Notfall-Update" für diese Versionen veröffentlichte. Schließlich sind Betriebssysteme wie Windows XP noch immer fester Bestandteil in einigen kritischen Bereichen wie Krankenhäusern. Dort sind teilweise sowohl XP-Maschinen im Einsatz, die medizinische Geräte kontrollieren, als auch solche, die im sonstigen Alltagsbetrieb Verwendung finden.  Dafür gibt es mehrere mögliche Gründe (siehe Text-Box). In Krankenhäusern ist ein Ransomware-Befall ein besonders großes Problem. Die britische Gesundheitsbehörde NHS sprach in diesem Zusammenhang von einem "schweren Zwischenfall". Ärzte und Pflegepersonal wurden praktisch über Nacht mehr als 20 Jahre in die Vergangenheit zurückgeworfen und mussten wieder auf Papier und Stift zurückgreifen, da die Computer in einigen Krankenhäusern nicht mehr nutzbar waren.

Der Zwischenfall hat viele Fragen aufgeworfen. Der überwältigende Erfolg der Infektionswelle hat allerdings vielen schmerzhaft klar gemacht, dass es schwerwiegende Folgen haben kann, Updates nicht zu installieren - im ungünstigsten Fall macht man damit landesweit Schlagzeilen.

 

Eine Lektion in Demut (für die Angreifer)

Es scheint offentischtlich, dass die Macher von WannaCry vom Resultat ihrer Ransomware überwältigt waren. Falls sie geplant haben, die verschlüsselten Dateien tatsächlich zu entschlüsseln, haben sie keine ideale Wahl für das dahinter stehende System getroffen, mit dem Zahlungen nachgehalten und die Entschlüsselung angestoßen wird - beides erfordert manuelles Eingreifen auf Seiten der Angreifer. Das Ergebnis sind starke Verzögerungen, was alles andere als ideal für ein Geschäftsmodell ist, das darauf ausgelegt ist, möglichst viel Geld in möglichst wenig Zeit anzuhäufen. Bisher sind lediglich etwa 100.000 Dollar in Bitcoin-Zahlungen aufgetaucht, die sich bis zu den Bitcoin-Wallets der Angreifer zurückverfolgen lassen. Diese Summe ist gemessen an der Anzahl infizierter Maschinen überaus gering. Selbst, wenn nur 2,5 Prozent der WannaCry-Opfer zahlen sollten, wäre hier mindestens der fünfzehnfache Betrag zu erwarten. 

 

Warum Patchen nicht immer eine Option ist

Dass man alte Betriebssysteme ablösen und kritische Updates schnell installieren sollte, ist inzwischen allgemeiner Konsens. Allerdings wäre es zu einfach, Betroffene mit solchen Systemen als töricht oder fahrlässig abzustempeln. Die Ursache des Problems liegt viel tiefer und hat mehr mit regulatorischen Bestimmungen und Budgetentscheidungen zu tun als mit Faulheit oder Fahrlässigkeit. Nehmen wir einmal mehr Krankenhäuser als Beispiel. Viele medizinische Geräte müssen sich einem strengen Zertifizierungsprozess unterziehen, der langwierig und kostspielig ist. Softwareupdates können und dürfen dort nur von zertifizierten Spezialisten vorgenommen werden, damit das Gerät seine Zulassung behält. Updates sind selten und liegen in der Regel weit auseinander, zudem kann die Installation von Updates schnell sechsstellige Summen verschlingen und mehrere Tage dauern. In dieser Zeit kann das Gerät auch nicht betrieben werden. Kauft man heute (Mai 2017) beispielsweise das neueste MRT-Gerät eines führenden Herstellers, ist die Chance hoch, dass auf diesen Geräten Windows 7 läuft - mit Glück ist es Windows 7 mit Service Pack 1. Vorgängerversionen laufen oft noch mit Windows XP. Man kann also in einigen Fällen überhaupt keine Geräte kaufen, die ein aktuelles Betriebssystem haben, selbst wenn man will. In weniger als drei Jahren wird Windows 7 das gleiche Schicksal ereilen, wie seinerzeit Windows XP und es wird von Microsoft nicht mehr unterstützt werden.

Die Versuchung ist groß zu sagen: "Dann ersetzt das Gerät doch einfach!", allerdings gibt es hier zwei wesentliche Probleme. Erstens: Windows 10 wird aller Voraussicht nach nicht in nächsters Zeit auf diesen Geräten verfügbar sein, auch wenn ein Zertifizierungsprozess vielleicht schon auf den Weg gebracht ist. Zweitens: Geräte wie MRT-Scanner (oder CNC-Fräsen oder andere komplexe Industriehardware) kostet in der Anschaffung mehrere Millionen Euro, inklusive der baulichen Veränderungen an dem Gebäude, in dem das Gerät betrieben werden soll. Solche Maschinen sind also eine langfristige Investition, die für mehrere Jahre, manchmal ein Jahrzehnt oder länger, in Betrieb bleiben. Während dieser Zeit kann es auch passieren, dass die Herstellerfirma in Konkurs geht oder das Gerät abkündigt - beides führt dazu, dass Patches und Updates nicht mehr verfügbar sind.

Andere Industriezweige sind nicht viel besser dran denn einige Industrieanlagen stehen vor dem selben Problem. In vielen Fabrikhallen findet man noch Windows NT oder Windows 2000 - PCs, die die Geräte steuern. Daher können einige Kunden diese Systeme gar nicht "einfach patchen". Wenn man sie dennoch für irgendetwas verurteilen möchte, dann höchstens dafür, dass die Geräte nicht ausreichend vom Rest des Netzwerkes isoliert worden sind.

Die Frage nach dem "Wer war's?" ist berüchtigt dafür, dass sie schwer zu beantworten ist. Es gibt Hinweise, die WannaCry in Verbindung mit einer APT-Gruppe bringen, die wiederum Verbindungen zur nordkoreanischen Regierung hat - für diese Aussagen haben wir jedoch bisher keinen schlagenden Beweis gesehen. So, wie es im Moment aussieht, hat eine Angreifergruppe Zugang zu einem sehr mächtigen Werkzeug bekommen, ohne sich jedoch über dessen Potenzial im Klaren zu sein. Ein passendes Bild ist vielleicht eine Person, die ein Rinnsal aus einem Gartenschlauch erwartet, aber dann feststellen muss, dass sie einer Hochdruckleitung der Feuerwehr gegenüber steht, die sie durch den Raum katapultiert.

Es ist noch nicht vorbei

Auch, wenn die größte Welle langsam abzuebben scheint, rollt die nächste bereits. Es gab Berichte über eine groß angelegte DDoS-Attacke gegen die Killswitch-Domain von WannaCry. Ziel dieser ist es, WannaCry "wiederzubeleben" und davon abzuhalten, dass infizierte Maschinen die Domain erreichen können. Kann WannaCry die Domain erreichen, hätte das zur Folge, dass die Schadsoftware sich selbst deaktiviert und ein System nicht mehr infiziert. Zudem sind noch mehr funktionsfähige Exploits aus Regierungs- und Geheimdienstkreisen geleakt und werden aktiv genutzt.


Dies ist nicht das Ende. Es ist nicht einmal der Anfang vom Ende. Aber es ist vielleicht das Ende des Anfangs.

Winston Churchill


5 Tipps zur Vorbereitung auf den "nächsten großen Zwischenfall"

  • So oft wie möglich aktualisieren
    Auch wenn es immer und immer wieder gesagt wird und die Information schon bis zum Halse heraushängt: Updates für installierte Programme sowie für das Betriebssystem sollten so schnell wie möglich durchgeführt werden – besonders wenn es um kritische Aktualisierungen geht, die für die Aufrechterhaltung oder Wiederherstellung der Sicherheit dienlich sind. Heimanwender haben es einfach: Windows-Updates werden größtenteils automatisch eingespielt, sodass keine weiteren manuellen Maßnahmen erforderlich sind. Indes wird im Geschäftsumfeld mit einer Patch-Management-Lösung ein höheres Maß an Sicherheit gewährleistet. Diese Lösung wird umso wichtiger, je größer das Netzwerk wird. Wenn aus irgendwelchem Grund ein Update nicht eingespielt werden kann, so müssen andere Maßnahmen ergriffen werden, um die Sicherheit des restlichen Netzwerks zu gewährleisten (siehe hierzu Punkt 3).


  • AV-Lösung immer auf dem aktuellsten Stand halten
    Wenn eine neue Ransomware aus dem frisch gepellten Ei schlüpft, so sind die Chancen sehr hoch, dass die AV-Lösung die Malware bereits kennt. AV-Software hat mehrere Möglichkeiten, um schädliche Programme wie Ransomware, abgesehen von der klassischen Signatur, zu erkennen. Proaktive Technologien können wirklich helfen, das Niveau des Schutzes vor derartigen Bedrohungen zu verbessen – auch dann, wenn es noch gar keine entsprechende Signatur gibt. Die Verhaltensüberwachung ist mittlerweile Teil der meisten Sicherheits-Lösungen. Im Falle von G DATA wird ein spezielles Anti-Ransomware-Modul für zusätzlichen Schutz bereitgestellt.


  • Netzwerktrennung durchführen
    Wenn nur irgendwie möglich, so wäre das Air-Gapping ideal. Das kann zwar nicht verhindern, dass eine Infektion auftritt, aber zumindest einen Ausbruch auf einen Bereich beschränken. Eine komplette Verbreitung über das ganze Netzwerk ist somit ausgeschlossen. Beispielsweise würde in einem Krankenhaus ein Ausbruch „nur“ die medizinische Bildgebung beeinträchtigen, jedoch andere Abteilungen unberührt lassen. Auf diese Weise hätten die Ärzte nicht zu Papier und Bleistift greifen müssen, sondern noch Zugang zu vorhandenen elektronischen Patientenakten gehabt. Im Falle von WannaCry musste das Krankenhauspersonal in Großbritannien sogar unkritische Patienten unbehandelt lassen, denn sie hatten alle Händen voll zu tun, kritische Patienten am Leben zu halten.

    Netzwerktrennung kommt mit einer Reihe von Herausforderungen daher. Hier stehen wir vor einem Interessenskonflikt, denn einerseits soll der Alltagsbetrieb reibungslos verlaufen, aber andererseits so sicher wie möglich sein. Air-Gapping wäre hier ein sehr guter Ansatz für die Netzwerk-Sicherheit gewesen, denn sobald ein Gerät keine physikalische Verbindung zu einem Netzwerk hat, wird die Verbreitung verhindert – auch im Falle von WannaCry. Um beim Beispiel Krankenhaus zu bleiben: Die medizinische Bildgebung mit modernen Geräten hat einen großen Vorteil: Die Bilder können einfach in einen Pool verschoben werden, aus dem sie ein Arzt abgreifen und daraufhin für Untersuchungen verwenden kann. Natürlich: Die eben genannte Veranschaulichung wurde stark vereinfacht dargestellt, aber man bekommt ein gutes Gespür davon, wie die Netzwerktrennung funktioniert. Im Klartext heißt das: Es ist eine Art Netzwerkknoten notwendig, der zwei unabhängige Netzwerke an nur einem Punkt vereint – nämlich auf dem die Ärzte zugreifen können und auf dem sich die Bildgebungs-Maschinen befinden. Ein Worst-Case-Szenario wäre eine flache Netzwerkhierarchie, bei der alle Geräte im selben Netzwerk sind – das wäre eine ideale Grundlage für eine flächige Ausbreitung von WannaCry.


  • Mitarbeiter trainieren
    Auch wenn Trainings nicht jedermanns Sache ist, so macht es doch einen großen Unterschied im Ernstfall aus: Entweder erliegt alles dem Stillstand, oder es läuft alles wie gehabt weiter und es ist lediglich mit ein paar geringen Störungen zu rechnen.

    Wenn die Angestellten wissen, was im Ernstfall zu tun ist, ist es etwas weniger wahrscheinlich, dass die Dinge falsch laufen – nur ein Beispiel: Ein Angestellter hat, ohne es selbst zu bemerken, ein Flash-Laufwerk mit Ransomware infiziert. Zuhause speichert er eine Datei auf dem Stick, um sie auf der Arbeit auszudrucken. Auf der Arbeit steckt der den Stick in den Computer und das System wird verschlüsselt und sofort verschlossen. Anstatt den USB-Stick nun zum nächsten Computer zu nehmen, um sein Dokument dort auszudrucken, „weil sein Computer kaputt ist“, sollte er mit entsprechendem Training wissen, dass er sofort mit den richtigen Leuten in Kontakt treten und ansonsten alles stehen und liegen lassen sollte. Übrigens: Mitarbeiter mit Entlassungen zu drohen, sofern solch ein Ereignis auftreten sollte, könnte kontraproduktiv sein. Wenn ein Mitarbeiter weiß, dass er dafür bestraft wird, so wird er versuchen die Situation unter den Teppich zu kehren (oder noch schlimmer) selbst versuchen die Sache in die Hand zu nehmen – bis es schließlich zu spät ist.


  • Externe Hilfe im Notfall holen
    Die Entwicklung einer guten Notfallstrategie kann viel Trauer und Leid ersparen. Deshalb macht es Sinn, externes Fachwissen mit an Bord zu holen, um eine passgenaue Antwort-Strategie zu formulieren. Das ist keineswegs eine triviale Sache und viele Faktoren müssen hier berücksichtigt werden. Die Anstrengungen zahlen sich aber in jedem Falle aus, sollte der Super-GAU jemals eintreffen.

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein