Ransomware erkennen, entfernen & vermeiden

"WannaCry" FAQ

23.05.2017
Von 


Florian beschäftigt sich mit vielen Themen rund um Technologie und Management. Daneben betätigt er sich auch in sozialen Netzen.

Ist der "WannaCry"-Angriff vorbei?

Nein. Aber die erste Angriffswelle scheint abzuklingen (stand: 15.05.2017). Allerdings rechnen Experten damit, dass sich die Ransomware mit dem Wochenbeginn weiter ausbreiten könnte - insbesondere im Unternehmensumfeld. Um sich vor Social Engineering und Spear Phishing zu schützen, sollten Sie Maßnahmen ergreifen:

Was Führungskräfte tun können, um Hackerangriffe im Stil von "WannaCry" ganz generell zu vermeiden, erfahren Sie HIER.

Sicherheitsforscher haben bislang mehrere verschiedene, neue Varianten der "WannaCry"-Ransomware ausgemacht. Ähnliches berichten auch Experten im Forum "Bleeping Computer". Das legt nahe, dass die erste Welle der Angriffe mit "WannaCry" nur der Anfang gewesen ist. Kriminelle Hacker haben Ransomware bereits vor einiger Zeit als rentables Geschäftsmodell für sich entdeckt.

Im Nachgang der "WannaCry"-Ransomware-Epidemie meldete sich auch die berüchtigte Hacker-Gruppe Shadow Brokers zu Wort. In einer Online-Mitteilung kündigen die Cyberkriminellen an, dass sie noch über jede Menge unbekannte Exploits aus dem Bestand der Equation Group verfügt. Die Hacker wollen diese Hacking-Tools - die mutmaßlich von der NSA stammen - im Rahmen eines Abonnement-Service, der im Juni an den Start gehen soll, verkaufen. Bereits zuvor hatte die Gruppe von Cyberkriminellen auf sich aufmerksam gemacht, als sie NSA-Exploits für rund 12 Millionen Dollar verkaufen wollte. Als sich kein Abnehmer fand, verschwanden die Shadow Brokers zunächst von der Bildfläche.

Laut den Hackern sollen über den angesprochenen Abo-Service monatlich Exploits für Webbrowser, Router, Smartphones und Windows 10 veröffentlicht werden. Auch Daten, die bei Cyberspionage-Operationen gestohlen wurden, sollen in diesem Rahmen angeboten werden. Darunter offensichtlich auch Daten von SWIFT-Providern, Zentralbanken und den Nuklearprogrammen verschiedener Länder.

Steckt Nordkorea hinter der "WannaCry"-Ransomware?

Die Zuordnung von Hackerangriffen ist ganz generell kein triviales Unterfangen. Zahlreiche IT-Sicherheitsexperten waren und sind damit beschäftigt, den Code der Ransomware zu analysieren. Auch das Bundeskriminalamt hatte erste Ermittlungen aufgenommen.

Zwischenzeitlich wollten einige Security-Forscher erste Anzeichen dafür gefunden haben, dass der "WannaCry"-Angriff mit der Lazarus-Gruppe in Verbindung steht. Diese kriminelle Hacker-Gruppierung soll wiederum mit Nordkorea in Verbindung stehen und wird darüber hinaus für mehrere Angriffe auf Bankinstitute verantwortlich gemacht.

Google-Security-Forscher Neel Mehta hatte zuvor den Code der Ransomware "WannaCry" analysiert und war dabei auf Ähnlichkeiten zu dem Tool gestoßen, das beim Cyberangriff auf Sony Pictures im Jahr 2014 verwendet wurde. Bestätigt wurde das unter anderem auch von Kaspersky und Symantec. Dennoch legen die Experten Wert darauf, dass es noch zu früh sei, um den weltweiten Ransomware-Angriff einem Akteur zuzuordnen. Schließlich würden die Hacking-Tools in der Regel schnell Verbreitung finden.

Mitte Dezember 2017 ist sich die US-Regierung unter Donald Trump hingegen sicher - Nordkorea ist für WannaCry verantwortlich:

Was sagen IT-Security-Experten?

Sicherheitsexperte Dr. Wieland Alge, Vice President und General Manager EMEA bei Barracuda Networks: "WannaCry ist auch ein beängstigendes Beispiel für ein Versäumnis bei den IT-Verantwortlichen. Wir versuchen seit Jahren, den Menschen beizubringen, ihre Systeme up-to-date zu halten und dann setzen wir sie vor Rechner, die seit geraumer Zeit nicht mehr sicher sind.

Ein Wake-up-Call für CIOs und Admins, dass es mit gutem Zureden und "Human Error by User"-Ausreden nicht getan ist. Zerknirscht die Verantwortung übernehmen und die Frage nach dem WO und WER die Firewall ist, ernsthaft zu stellen, ist die einzig ehrliche Reaktion. IT-Sicherheit ist mittlerweile eine Frage von Leben und Tod geworden, und es ist nicht übertrieben, wenn Experten fordern, dass etwa Krankenhäuser mehr Firewalls haben sollten, als Patienten und ganz allgemein eine Multilayer-Strategie in puncto Sicherheit gefahren werden sollte."

Tim Berghoff, G DATA Security Evangelist: "Mit Veröffentlichung der WikiLeaks-Dokumente haben wir bereits befürchtet, dass diese Information von Cyber-Kriminellen für Angriffe genutzt werden. Der Erfolg von WannaCry stellt bereits jetzt das flächenbrandartige Auftreten anderer Ransomware wie Locky oder CryptoLocker in den Schatten."

Catalin Cosoi, Bitdefender: "Ransomware ist im Grunde noch das freundlichste Szenario, da es für alle sehr sichtbar passiert. Aber man kann auch komplexe Bedrohungen auf Basis von EternalBlue aufbauen und so ausgestalten, dass sie auf Dauer unentdeckt bleiben und Organisationen über einen langen Zeitraum infiltrieren."

Chris Fearon, Director of Security Research bei Black Duck: "Ransomware-Taktiken und -Techniken sowie Prozeduren sind nicht mehr auf das Darknet beschränkt. Sie werden zunehmend durch Open-Source-Software-Kanäle zugänglich. Infolgedessen wird die Barriere für die Erstellung von Schadsoftware reduziert. Im Zeitalter von Open-Source-Ransomware ist es zwingend erforderlich, dass Schwachstellen-Management-Prozesse robust sind und die Software-Supply-Chain sicher ist, um zu verhindern, dass opportunistische Angreifer Business-Funktionen ausnutzen."

John Gunn, Chief Marketing Officer bei VASCO Data Security: "Schuldzuweisungen an Softwarehersteller und Regierungen sind fehl am Platz. In einer Welt, in der Sicherheitstechnologien enorme Entwicklungsschritte machen, sollte niemand überrascht sein, dass 14 Jahre alte Systeme anfällig für Attacken sind. Die Verantwortung liegt ganz klar bei denen, die sich auf archaische Methoden zur Sicherung der IT-Systeme verlassen - inklusive nicht gepatchter Betriebssysteme und überholter Authentifikations-Methoden. Wir sehen uns heute mit Attacken von bemerkenswerter Raffinesse konfrontiert, denen nur mit den neuesten Innovationen begegnet werden kann. Tut man dies nicht, muss man mit den Konsequenzen, wie sie aktuell viele Unternehmen erfahren, leben."

Limor Kessem, Executive Security Advisor bei IBM schrieb in Ihrem Blogeintrag: "Dieser Ransomware-Angriff erinnert mehr als alles andere mit Nachdruck daran, wie wichtig die Security-Basics sind - insbesondere wenn es um das Patch-Management bei Microsoft-Produkten geht."

Emmanuel Schalit, CEO von Dashlane: "Die Art der Bedrohung hat sich geändert. Vor fünf bis zehn Jahren drehte sich beim Thema Cybersicherheit für Verbraucher alles darum, die Geräte mit Antivirus-Software oder einem Spam-Filter zu schützen. Heute befinden sich die Daten nicht auf dem Gerät, sondern in der Cloud. Die letzte und einzige Verteidigungslinie, die diese Daten schützt, sind die Passwörter."

Kevin Bocek, Vice President Security Strategy & Threat Intelligence, Venafi: "Es ist nicht länger wichtig, in welcher Branche ein Unternehmen arbeitet, alle Unternehmen müssen sich mit allen möglichen Formen von Cyber-Attacken auseinandersetzen. Denn heutzutage ist alles digital und wird von Maschinen gesteuert. Wer die Maschinen steuert, steuert das Unternehmen."

Gerd Pflüger, IT-Security-Experte bei VMware: "Die Wanna Cry-Hacker-Attacke hat einmal mehr bewiesen, dass noch zu viele Unternehmen der Meinung sind, bei IT-Sicherheit gut aufgestellt zu sein - ein Trugschluss. Neben den technologischen Aspekten ist es für Unternehmen jedoch ebenso wichtig - und vor allem günstiger und effektiver - in die digitalen Fähigkeiten und das Wissen der eigenen Mitarbeiter zu investieren. In Zeiten der Digitalisierung sind Mitarbeiter, die über Datensicherheit und Gefahren im Internet aufgeklärt sind, ein wichtiger Erfolgsfaktor für Unternehmen."

Mit Material von IDG News Service.