Seit 27. Juni 2017, gibt es eine massive Welle von
Ransomware-Vorfällen durch eine neue Ransomware, die Ähnlichkeit mit
den bereits länger bekannten "Petya"/"Pet(r)Wrap" hat.
Durch das Ausnutzen mehrerer Schwachstellen in Windows-Systemen - für
die bereits seit längerem Updates zur Verfügung stehen - sowie durch
veraltete Einstellungen kann die Malware sich im lokalen (Windows-)
Netzwerk weiterverbreiten.
Beschreibung
Ransomware (siehe https://cert.at/warnings/specials/20160325.html )
ist kein neues Phänomen, dieses "Geschäftsmodell" wird schon seit
Jahren erfolgreich benutzt, um Geld zu erpressen. Die Liste der
bekannten Ransomware-Varianten ist lang, bekannte Namen sind Locky,
CryptoLocker, TeslaCrypt, Samsam oder Reveton.
Computer-Würmer sind auch nichts Neues, darunter versteht man
Programme, die sich selbstständig weiterverbreiten. Dazu enthalten
sie eine Komponente, die aktiv nach einer Schwachstelle (oder in
diesem Fall auch veralteten Einstellungen) in anderen Computern
sucht und diese ausnutzt, um sich selber dorthin zu kopieren und zu
starten.
Beispiele für Würmer sind ILOVEYOU, Code Red, Nimda, SQL Slammer,
Conficker oder Mirai - und noch recht "frisch": WannaCry (siehe
https://cert.at/warnings/all/20170513.html ).
Das "innovative" an dieser Wurm-Ransomware ist, dass sie sich nicht
exklusiv über eine einzige Schwachstelle weiter verbreitet, sondern
über mehrere sowie über nicht mehr zeitgemässe
Konfigurationen/Einstellungen.
Auswirkungen
Durch die Wurm-Funktionalität kommt es zu deutlich schwereren
Schadensfällen als im Vergleich zu klassischer Ransomware. Je
nachdem, welche Rechte die Schadsoftware auf einem betroffenem
System erlangen kann, unterscheidet sich das Verhalten, was genau
verschlüsselt wird, im Detail.
Betroffene Systeme
Durch die Wurm-Funktionalität sind alle Windows-Systeme gefährdet,
die den MS17-010 Patch aus März/April 2017 noch immer nicht
eingespielt haben (und auch neu gestartet wurden).
Weiters sind alle (Windows-) Netzwerke akut gefährdet, die es
erlauben, dass sich Benutzer mit lokalen Admin-Rechten am System
anmelden, und auch Netzwerke, die über mehrere (bzw. alle) Maschinen
hinweg gleiche Admin-Accounts verwenden. Dies ermöglicht es der
Schadsoftware, sich mit legitimen Methoden im Netzwerk auszubreiten.
Abhilfe
* Betroffene Systeme abschalten: je nach lokalen Gegebenheiten und
"Fortschritt" der Schadsoftware kann es sein, dass noch nicht
alle Daten wirklich verschlüsselt sind, und diese (mit Experten-
Hilfe) wiederhergestellt werden können.
* Nicht zahlen. Wir empfehlen generell, bei Ransomware-Angriffen
nicht zu zahlen, um das Geschäftsmodell der Angreifer nicht noch
zu unterstützen. Im aktuellen Fall ist auch nach Zahlung keine
Kontaktaufnahme mit den Angreifern zur Übermittlung eines
Entschlüsselungscodes möglich, da die angegebene Email-Adresse
bereits gesperrt wurde.
* Einspielen von MS17-010. Microsoft hat inzwischen auch für ältere
Systeme (Windows XP, Windows Server 2003) die Patches
freigegeben. Diese sollten dringend auf allen Systemen
eingespielt, und diese Systeme dann auch neu gestartet, werden.
* Generische Ransomware Abwehr. Da der initiale Vektor noch nicht
bekannt ist, sollte die Abwehrstrategie gegen jegliche
Infektionen überprüft und nachgeschärft werden. Insbesondere
aktive (Macros, Scripte, ...) Inhalte in eingehenden Mails
sollten gefiltert werden. Funktionierende und aktuelle Backups
sind ein essentieller Teil der Ransomware-Abwehr: Dies ist ein
guter Anlass, dieses Thema zu überprüfen. Auch eine
Einschränkung der Ausführung von nicht zentral geprüften und
freigegebenen Prorgrammen könnte helfen.
* Abdrehen von SMBv1. Diese alte Version des Filesharing-Protokolls
sollte nicht mehr aktiv sein. Siehe Microsoft Knowledge Base
Artikel 2696547.
* Erreichbarkeit von SMB Servern von aussen verhindern. Windows
Fileserver sollten nicht aus dem Internet erreichbar sein.
Eingehende Anfragen auf Port 445 sollten daher von der Firewall
unterbunden werden.
* Isolieren von unpatchbaren Systemen. Falls ein Windows-System
nicht gegen die SMB-Lücke gepatcht werden kann, so muss dieses
System vom Rest des internen Netzes isoliert werden.
* Isolieren von Windows-Clients: von Client zu Client ist im
Normalfall keine Kommunikation notwendig. Microsoft regt auch
an, anzudenken ob man WMI und File Sharing nicht generell
abdrehen könnte. Da dies potentiell gravierende Auswirkungen auf
den normalen IT-Betrieb haben kann, können wir dies nicht
allgemein empfehlen.
* Restriktive Benutzer-Rechte: Benutzer sollten nie mit lokalen
Admin-Rechten ausgestattet sein.
* Unterschiedliche Admin-Accounts je Client-Rechner: es sollte für
jeden Client-Rechner einen eigenen lokalen Admin-Account geben.
Microsoft stellt dazu ein eigenes Tool (LAPS) bereit.
* "Pass-the-hash"-Mitigation: siehe
https://www.microsoft.com/passthehash.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, für alle Arten von
Browser-Plugins (Flash, Java, ...) auf die "Click-to-play"-
Funktionalitäten von Internet-Browsern zurückzugreifen, sowie
parallel Firewall-Software aktiv und den Virenschutz aktuell zu
halten.
__________________________________________________________________
Informationsquelle(n):
* Hinweise von Microsoft (englisch)
* MS17-010 (englisch)
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
* Artikel bei Heise Security
--
// CERT Austria - Robert Waldner <Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!> // http://www.cert.at/