Absicherung gegen Ransomware-Angriffe

Jürgen Bergmann | 25 Juli 2017

Absicherung gegen Ransomware-Angriffe

Ransomware ist bösartige Software, die den Zugriff auf die Daten eines Systems oder auf einen ganzen Rechner blockiert und Geld für die Freigabe fordert. Ransomware verschlüsselt auf infizierten Computern Dokumente oder Dateien und sorgt so dafür, dass diese gesperrt oder beschädigt werden.

Zur Entsperrung der Dateien wird nach Zahlung des Lösegeldes ein digitaler Schlüssel bereitgestellt. WannaCry und Petya, die größten und schockierendsten Angriffe in der Geschichte der Ransomware, haben die Welt erschüttert und dazu geführt, dass viele Menschen die Sicherheit ihrer Computer, iPhones und Android-Geräte hinterfragen.
 

EternalBlue als Kern des WannaCry-Virus

Im Mittelpunkt von WannaCry und Petya steht eine Sicherheitsschwachstelle in Microsoft Windows, die als EternalBlue bezeichnet wird. Jede solche Schwachstelle kann durch Softwareprogramme, so genannte Exploits, missbraucht werden. Diese Exploits können Ransomware oder andere Schadsoftware sein.

Am 14. März wurde ein Patch für die EternalBlue-Schwachstelle herausgegeben, sodass diejenigen, die rechtzeitig das Update einspielten, geschützt waren. Microsoft nahm das Problem so ernst, dass auch ein Patch für Windows XP veröffentlicht wurde, obwohl die Unterstützung für diese Software bereits 2014 zu Ende gegangen war.

Auf nicht aktualisierten Rechnern, darunter etwa die des britischen NHS, wurde Microsoft Server Message Block 1.0 als Schwachstelle ausgenutzt - zuerst im Mai 2017 durch WannaCry. Es handelt sich um ein Protokoll zur Dateifreigabe im Netzwerk, das Anwendungen das Lesen und Schreiben von Dateien sowie das Anfordern von Diensten ermöglicht. Mehr als 230.000 Rechner in über 150 Ländern waren betroffen und verloren enorme Datenmengen.

Unglaublicherweise entdeckte ein Sicherheitsforscher zufällig einen Fehler in WannaCry und schaffte es, die Zerstörungen aufzuhalten. Die Schadsoftware prüft, ob sie sich mit bestimmten Domains verbinden kann, ehe sie sich ausbreitet. Wenn sie sich erfolgreich verbindet, fährt sie nicht weiter fort. Durch die Registrierung der in den WannaCry-Programmen angegebenen Domain konnte der Forscher den „Notausschalter“ aktivieren.

Petya heißt eigentlich nicht Petya, sondern teilt sich vielmehr eine große Codemenge mit einer älteren Ransomware namens Petya. Zwar wird die Software von Einigen als Unterart von Petya angesehen, jedoch sind die Ähnlichkeiten rein oberflächlich. Von unabhängigen Organisationen hat sie zudem verschiedene Namen erhalten, von Bitdefender etwa die Bezeichnung „Goldeneye“. Petya ist in einem Software-Update versteckt und die Infektion kann sich über 2 Verwaltungswerkzeuge in Windows ausbreiten. Darüber hinaus kann mit Hilfe Ihrer Benutzerkonten Ihre Identität nachgeahmt werden. Die komplexe Schadsoftware probiert jede Möglichkeit aus und fährt im Falle eines Misserfolgs mit der nächsten fort.

Intelligente Infektoren

Ein wesentliches Problem besteht darin, dass die EternalBlue-Schwachstelle auf verschiedene Weisen ausgenutzt werden kann. Im Fall von WannaCry erfolgte die Verbreitung über E-Mails. Bei Petya scheint sie sich über MEDoc, die standardmäßige Steuersoftware aller ukrainischen Behörden, verbreitet zu haben.

MEDoc hat bestritten, die Quelle der Petya-Infektionen zu sein, auch wenn Microsoft und Bitdefender von Belegen sprechen, wonach dies der Fall sei. Die ukrainische Cyber-Polizeieinheit, mit der MEDoc zusammenarbeitet, untersucht die Situation und hat vor dem Herunterladen von MEDoc-Updates gewarnt. Woher es auch stammt: Petya hat sich wie ein Lauffeuer ausgebreitet. So, wie WannaCry den NHS befallen hat, traf Petya das Heritage Valley Health System und störte dessen Betrieb von Pflegeeinrichtungen und Krankenhäusern in Pittsburgh.

Wie wurden die Informationen bekannt?

Wie wurden die Informationen bekannt?Die von WannaCry und Petya ausgenutzte Schwachstelle wurde durch eine Gruppe namens The Shadow Brokers (TSB) offengelegt. Diese begann im Jahr 2016 mit dem „Leaken“ von Geheimnissen der National Security Agency und droht damit, noch weitere zu veröffentlichen. Man weiß nicht, wer hinter TSB steht. Es gibt zahlreiche Theorien, unter anderem, dass die Gruppe die Informationen von einem Maulwurf innerhalb der National Security Agency erhalten haben soll.

Angesichts der betroffenen Stellen ist es am wahrscheinlichsten, dass es sich bei Petya um eine Schadsoftware handelt, die sich als Ransomware maskiert. Falls die Software durch einen Maulwurf beschafft wurde, könnte es sogar einen Staat geben, der Chaos zu stiften versucht. Goldeneye wurde als bewusster, bösartiger Angriff oder Test bezeichnet, der sich als Ransomware verschleierte. Die Tarnung als Ransomware ist plausibel, doch Goldeneye verbreitet sich schnell und richtet schweren Schaden an.

Das Gegenmittel für WannaCry wurde durch Zufall gefunden und es ist noch nicht mit Sicherheit bekannt, was Petya wirklich war. Tatsache bleibt jedoch, dass Ransomware-Kriminelle weiterhin versuchen werden, von großen Organisationen und möglicherweise auch von Einzelpersonen Geld zu erpressen.

Was kann man tun?

Auch wenn WannaCry und Petya gegenwärtig in aller Munde sind, sollten sie Liebhabern von Online-Casinos weder ernsthafte Sorgen bereiten noch irgendjemanden vom Spielen abhalten. Obwohl diese bösartige Software um sich greifen und Zerstörung anrichten kann, sind Unternehmen oder Konzernmarken wahrscheinlichere Angriffsziele als Einzelpersonen. Wenn Sie sich an sichere, zuverlässige Online-Casinos halten und nur Software aus seriösen Quellen herunterladen, sollten keine Probleme auftreten. Wenn Sie sich gleichwohl um die Sicherheit im Online-Casino sorgen, können Sie sich auf alle möglichen Arten absichern.

Fast alle führenden Antivirus-Unternehmen geben an, dass sie ihre Software aktualisiert haben, um Petya aktiv zu erkennen und abzuwehren. Es ist also unerlässlich, jeweils die neueste Ausgabe der Antivirus-Software zu haben.

Es ist wichtig, Ihr Betriebssystem auf dem aktuellen Stand zu halten. Einige Experten empfehlen auch das Ausschalten des Rechners, falls Sie eine laufende Infektion bemerken, um das Verschlüsseln von Dateien zu verhindern. Hintergrund ist, dass Ransomware nach der Infektion eines Computers eine Stunde lang abwartet und danach neu startet. Dann können Sie versuchen, die Dateien zu retten, wenn Sie den Rechner wieder einschalten.

Um auf allen Plattformen und Geräten sicher zu bleiben, wird empfohlen, nur aktuell unterstützte Betriebssysteme zu verwenden und regelmäßig vollständige Datensicherungen anzulegen. Sie können niemals absolut geschützt sein, aber Sie können die möglichen Konsequenzen im Griff behalten.