[Warning] Ransomware/Wurm WannaCry

Otmar Lendl lendl at cert.at
Sun May 14 08:55:35 CEST 2017 

14. Mai 2017

   Seit 12. Mai gibt es eine massive Welle von Ransomware-Vorfällen durch
   "WannaCry" (auch WanaCrypt0r oder WannaCrypt genannt). Durch das
   Ausnutzen einer Schwachstelle in Windows-Fileservern kann die Malware
   direkt auf diesen aktiv werden und sich weiterverbreiten.

Beschreibung

   Ransomware [1] ist kein neues Phänomen, dieses "Geschäftsmodell" wird
   schon seit Jahren erfolgreich benutzt, um Geld zu erpressen. Die Liste
   der bekannten Ransomware-Varianten ist lang, bekannte Namen sind Locky,
   CryptoLocker, TeslaCrypt, Samsam oder Reveton. Computer-Würmer sind
   auch nichts Neues, darunter versteht man Programme, die sich
   selbstständig weiterverbreiten. Dazu enthalten sie eine Komponente, die
   aktiv nach einer Schwachstelle in anderen Computern sucht und diese
   ausnutzt, um sich selber dorthin zu kopieren und zu starten.
   Beispiele [2] für Würmer sind ILOVEYOU, Code Red, Nimda, SQL Slammer,
   Conficker oder Mirai.

   "WannaCry" ist die erste Kombination von Ransomware mit den
   Fortpflanzungsmöglichkeiten eines Wurmes.

   Die Ransomware-Komponente ist nichts Neues oder besonders Innovatives.
   Die Wurm-Komponente basiert auf einem Fehler in der Fileserver (SMB)
   Implementation von Windows. Dieser Fehler wurde als MS17-010 [3] im März
   2017 von Microsoft im Rahmen des monatlichen Patchdays für alle noch
   betreuten Versionen von Windows gefixt. Am 14. April 2017 wurde ein
   Exploit (Codename EternalBlue) [4] für diese Schwachstelle im Rahmen der
   Dumps von Shadow Brokers [5] bekannt.

   Ob es neben der Verbreitung per SMB noch einen weiteren Weg für die
   initiale Infektion gibt, ist mit Stand 13.5.2017 noch nicht
   zweifelsfrei geklärt. Einige Quellen sprechen von typischen
   Phishing-Emails mit Attachments die Macros oder Scripting-Code
   enthalten (etwa .hta oder .docm Files, die eventuell auch noch in
   anderen Files eingebettet sind). Das FBI erwähnt das Remote Desktop
   Protocol (RDP) als möglichen Vektor.

Auswirkungen

   Die zusätzliche Wurm-Funktionalität hat zu deutlich schwereren
   Schadensfällen im Vergleich zu klassischer Ransomware geführt. Waren
   bisher primär Windows-Clients und die von den Usern schreibbaren
   Fileshares betroffen, so erreichte WannaCry auch Systeme, die bisher
   verschont blieben und kann durch das Ausnutzen von MS17-010 auch mit
   erhöhten Rechten laufen.

   Diese Kombination hat dazu geführt, dass es global zu einigen
   signifikanten IT-Ausfällen gekommen ist.

Betroffene Systeme

   Durch die Wurm-Funktionalität sind alle Windows-Fileserver gefährdet,
   die nicht den MS17-010 Patch eingespielt haben (und auch neu gestartet
   wurden). Im März wurde dieser Patch nur für die noch gewarteten
   Windows-Versionen veröffentlicht, damit bekamen etwa Windows XP oder
   Windows Server 2003 diesen Fix nicht und sind daher akut gefährdet.

Abhilfe

     * Einspielen von MS17-010. Microsoft hat inzwischen auch für ältere
       Systeme die Patches freigegeben. Diese sollten dringend auf allen
       Systemen, die als Fileserver aktiv sind, angewendet werden.
     * Generische Ransomware Abwehr. Da der initiale Vektor noch nicht
       bekannt ist, sollte die Abwehrstrategie gegen jegliche Infektionen
       überprüft und nachgeschärft werden. Insbesondere aktive (Macros,
       Scripte, ...) Inhalte in eingehenden Mails sollten gefiltert
       werden. Funktionierende und aktuelle Backups sind ein essentieller
       Teil der Ransomware-Abwehr: Dies ist ein guter Anlass, dieses Thema
       zu überprüfen. Auch eine Einschränkung der Programmausführung aus
       TEMP Verzeichnissen könnte helfen.
     * Abdrehen von SMBv1. Diese alte Version des Filesharing-Protokolls
       sollte nicht mehr aktiv sein. Siehe Microsoft Knowledge Base
       Artikel 2696547 [6].
     * Erreichbarkeit von SMB Servern von außen verhindern. Windows
       Fileserver sollten nicht aus dem Internet erreichbar sein.
       Eingehende Anfragen auf Port 445 sollten daher von der Firewall
       unterbunden werden.
     * Isolieren von unpatchbaren Systemen. Falls ein Windows-System nicht
       gegen die SMB-Lücke gepatcht werden kann, so muss dieses System vom
       Rest des internen Netzes isoliert werden.
     * Spezielle Anti-WannaCry Tools. Die aktuelle Version von WannyCry
       lässt sich durch ein paar technische Tricks stoppen. Das basiert
       auf Tests innerhalb der Malware, die eine Doppelinfektion [7]
       verhindern sollen, oder aber die Analyse [8] in Testsystemen
       erschweren sollen. Achtung: es ist trivial für den Urheber der
       Malware, eine neue Version zu verbreiten, die diese Maßnahmen
       aushebelt. Laut ersten Meldungen [9] ist das bereits passiert.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, für alle Arten von
   Browser-Plugins (Flash, Java, ...) auf die
   "Click-to-play"-Funktionalitäten von Internet-Browsern zurückzugreifen,
   sowie parallel Firewall-Software aktiv und den Virenschutz aktuell zu
   halten.
     __________________________________________________________________

Informationsquelle(n):

   1. https://cert.at/warnings/specials/20160325.html
   2. https://en.wikipedia.org/wiki/Timeline_of_computer_viruses_and_worms
   3. https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
   4. https://en.wikipedia.org/wiki/ETERNALBLUE
   5. https://en.wikipedia.org/wiki/The_Shadow_Brokers
   6.
https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
   7. https://twitter.com/EC3Europol/status/863492271911645184
   8.
https://www.theguardian.com/technology/2017/may/13/accidental-hero-finds-kill-switch-to-stop-spread-of-ransomware-cyber-attack?CMP=twt_a-technology_b-gdntech
   9. http://thehackernews.com/2017/05/wannacry-ransomware-cyber-attack.html

Weitere Links:

  10.
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
  11. https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
  12.
https://blog.malwarebytes.com/cybercrime/2017/05/wanacrypt0r-ransomware-hits-it-big-just-before-the-weekend/
  13.
https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/
  14. https://loreto.ccn-cert.cni.es/index.php/s/tYxMah1T7x7FhND
  15.
https://blog.comae.io/wannacry-the-largest-ransom-ware-infection-in-history-f37da8e30a58
  16.
https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/
  17.
https://www.bleepingcomputer.com/news/security/wana-decryptor-wanacrypt0r-technical-nose-dive/
  18.
https://blog.fox-it.com/2017/05/12/massive-outbreak-of-ransomware-variant-infects-large-amounts-of-computers-around-the-world/


-- 
// Otmar Lendl <lendl at cert.at> - T: +43 1 5056416 711
// CERT Austria - https://www.cert.at/
// Eine Initiative der nic.at GmbH - http://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20170514/eb387762/attachment.sig>

More information about the Warning mailing list