Jena, 27. Juni 2018 – Die massiven Attacken mit der Ransomware „WannaCryptor“ am 12. Mai 2017 sind Sinnbild für einen der aggressivsten Cyberangriffe in der Geschichte der Cybersicherheit. Innerhalb weniger Minuten mussten Tausende von Unternehmen in mehr als 150 Ländern zusehen, wie über 200.000 Computer verschlüsselt und durch die Lösegeldsoftware unzugänglich gemacht wurden. Ein immenser Datenverlust drohte. Die Lösegeldforderungen verursachten Schäden in Höhe von Hunderten von Millionen bis Milliarden Dollar. Der europäische Security-Hersteller ESET bewahrte seine Geschäftskunden vor den zum Teil dramatischen Folgen dieses großen Malware-Ausbruchs. Dank der sogenannten „Network Attack Protection-Technologie“ waren ESET-geschützte Endgeräte nicht betroffen.
Ransomware nutzte Exploit in Microsoft Betriebssystem
Die Angreifer hinter WannaCryptor (oder auch WannaCry und Wcrypt) nutzten einen ausgeklügelten Exploit namens EternalBlue. Dieser wurde angeblich der US National Security Agency (NSA) gestohlen und hat sich dann in Hackerkreisen verbreitet. Eine Black-Hat-Gruppe namens „Shadow Brokers“ soll ihn online gestellt haben.
Der Exploit missbrauchte die Sicherheitslücke (CVE-2017-0144) in Microsofts Implementierung des Server Message Block (SMB)-Protokolls über Port 445. Durch das Scannen des Internets nach SMB-Ports konnte der Ransomware-Wurm seinen Code auf exponierten, anfälligen Systemen ausführen. Anschließend verbreitete er sich darüber sowohl im internen Netzwerk des betroffenen Unternehmens als auch im Internet weiter.
Wirkungsvoller Schutz auch auf ungepatchten Systemen
Die meisten der befallenen Systeme liefen mit einer ungepatchten Version von Windows 7. Aber auch Systeme, die nicht über die kritischen Microsoft-Patches verfügten, die von Microsoft am 14. März, also zwei Monate vor dem Angriff, veröffentlicht wurden, hätten durch eine hochwertige mehrschichtige Sicherheitslösung geschützt werden können.
Basierend auf einer Netzwerkerkennung, die am 25. April 2017 hinzugefügt wurde, war ESETs Network Attack Protection Layer in der Lage, Angriffe mit Hilfe von EternalBlue Exploits zu blockieren. Dadurch verhinderte die ESET Lösung, dass Schadcode in die Zielsysteme geschleust wurde. Auch die WannaCryptor-Ransomware-Familie sowie anderer Schadcode, der versuchen könnte, den gleichen Verteilungsmechanismus zu verwenden, wurde wirkungsvoll geblockt.
Die Network Attack Protection-Technologie von ESET ermöglichte den Nutzern, ihren Geschäftsbetrieb ohne Unterbrechung fortzusetzen. Im Gegensatz dazu meldeten durch die Ransomware betroffenen Unternehmen weltweit auch noch einige Tage nach dem ersten Ausbruch große Probleme in ihrer Integrität der Systeme.
Fazit
Die beträchtliche Anzahl von infizierten Geräten im WannaCryptor-Fall zeigt, wie wichtig regelmäßig durchgeführte Patches für die gesamte IT-Security in einem Unternehmen sind. Dies kann jedoch unter Umständen ein zeitaufwändiger, mühsamer und teurer Prozess sein. Durch die Installation der mehrschichtigen Sicherheitslösungen von ESET verbessern Unternehmen ihren Schutz, bis wichtige Updates ordnungsgemäß getestet und anschließend bereitgestellt werden können. Die Schutztechnologie kann auch dazu beitragen, Endgeräte zu schützen, die nicht gepatcht oder einfach ausgetauscht werden können. Auch nur gelegentlich eingesetzte Geräte in großen Netzwerken sind selbst dann geschützt, sobald sie beim Testen und Ausrollen von Patches im gesamten Unternehmen versehentlich übersehen werden sollten.
Somit sorgt ESET nicht nur für einen erhöhten Sicherheitslevel, sondern entzerrt auch gleichzeitig die Arbeitsintensität der IT-Abteilung beim Roll-Out wichtiger Aktualisierungen.