Angreifer nutzten den Exploit „Eternal Blue“
Die Angreifer hinter „WannaCryptor“ (oder auch „WannaCry“ bzw. „Wcrypt“) hätten einen ausgeklügelten Exploit namens „EternalBlue“ ausgenutzt. Dieser sei angeblich der US National Security Agency (NSA) gestohlen und in Hacker-Kreisen verbreitet worden – eine „Black Hat“-Gruppe namens „Shadow Brokers“ habe ihn online gestellt, wie datensicherheit.de dazu informierte.
Dieser Exploit habe die Sicherheitslücke (CVE-2017-0144) in Microsofts Implementierung des „Server Message Block“-Protokolls über Port 445 missbraucht. Durch das Scannen des Internets nach solchen SMB-Ports habe der Ransomware-Wurm seinen Code auf exponierten, anfälligen Systemen ausführen können. Anschließend habe er sich darüber sowohl im internen Netzwerk des betroffenen Unternehmens als auch im Internet weiter verbreitet.
Sicherheitslösung von ESET schützt auch ungepatchte Systeme wirksam
Wie weiter dazu verlautete seine die meisten befallenen Systeme mit einer ungepatchten Version von „Windows 7“ betrieben worden. Aber auch Systeme, die nicht über die kritischen, von Microsoft am 14. März 2017, also zwei Monate vor dem Angriff, veröffentlichten Microsoft-Patches verfügten hätten, seien demnach durch eine hochwertige mehrschichtige Sicherheitslösung geschützt worden.
Basierend auf einer am 25. April 2017 hinzugefügten Netzwerkerkennung sei ESETs „Network Attack Protection Layer“ in der Lage gewesen, diese mit Hilfe von „EternalBlue“-Exploits durchgeführten Angriffe zu blockieren. Dadurch habe die ESET-Lösung verhindern können, dass Schadcode in die Zielsysteme geschleust wird. Auch die „WannaCryptor“-Ransomware-Familie sowie anderer Schadcode, der versuchen könnte, den gleichen Verteilungsmechanismus zu verwenden, sei „wirkungsvoll geblockt“ worden.
Fazit
Die beträchtliche Anzahl von infizierten Geräten im „WannaCryptor“-Fall zeige, wie wichtig regelmäßig durchgeführte Patches für die gesamte IT-Security in einem Unternehmen sind. Dies könne jedoch unter Umständen ein zeitaufwändiger, mühsamer und teurer Prozess sein. Durch die Installation mehrschichtiger Sicherheitslösungen (eben z.B. von ESET) verbesserten Unternehmen ihren Schutz, bis wichtige Updates ordnungsgemäß getestet und anschließend bereitgestellt werden können. Die Schutztechnologie könne auch dazu beitragen, Endgeräte zu schützen, die nicht gepatcht oder einfach ausgetauscht werden können. Auch nur gelegentlich eingesetzte Geräte in großen Netzwerken seien selbst dann geschützt, sobald sie beim Testen und Ausrollen von Patches im gesamten Unternehmen versehentlich übersehen werden sollten.
Weiterführende Links:
datensicherheit.de: Rückblick auf Ransomware-Attacken 2017: Schutz ist machbar
