Reaktion – Hilfe bei Vorfällen

Im Jahr 2017 gab es drei größere Vorfälle, die auch breite Aufmerksamkeit in den Medien erfahren haben.

Ransomware/Wurm WannaCry (05 / 2017)

Seit 12.05.2017 war europaweit eine massive Welle der Verschlüsselungssoftware (Ransomware) durch "WannaCry" (auch WanaCrypt0r oder WannaCrypt genannt) zu beobachten. Durch das Ausnutzen einer Schwachstelle in Windows-Fileservern konnte die Malware direkt auf diesen aktiv werden und sich weiterverbreiten.

Ransomware ist grundsätzlich kein neues Phänomen, das dahinterstehende "Geschäftsmodell" wird schon seit Jahren erfolgreich angewandt, um von Opfern Geld zu erpressen. Die Liste der bekannten Ransomware-Varianten ist lang, bekannte Namen sind Locky, CryptoLocker, TeslaCrypt, Samsam oder Reveton. Auch Computer-Würmer, also Programme, die sich selbstständig weiterverbreiten, sind nichts Neues. Sie enthalten dazu eine Komponente, die aktiv nach einer Schwachstelle in anderen Computern sucht und diese ausnutzt, um sich selbst dorthin zu kopieren und zu starten.

Im Falle von Wannacry, welcher beide obigen Ansätze (also Ransomware und Computer-Würmer) kombinierte, führte diese zusätzliche Wurm-Funktionalität zu deutlich schwereren Schadensfällen im Vergleich zu klassischer Ransomware. Waren bisher primär Windows-Clients und die von den Usern schreibbaren Fileshares betroffen, so erreichte WannaCry durch das Ausnutzen einer bereits seit Monaten bekannte Sicherheitslücke (MS17-010) auch Systeme, die bisher verschont blieben. Das führte dazu, dass es global zu einigen signifikanten IT-Ausfällen kam. Den Infizierten wurde versprochen, dass ihnen gegen Zahlung eines Lösegeldes ein Schlüssel zur Wiederherstellung der Daten übermittelt würde. In Österreich waren die Auswirkungen sehr gering, wohingegen europaweit in mehreren Staaten zahlreiche kritische Infrastrukturen betroffen waren.

Für CERT.at waren folgende Punkte relevant:

  • Während dieses Vorfalls wurden erstmals die Standing Operational Procedures (EU SOPs) des CSIRTs Networks außerhalb einer Übung angewendet und ein gemeinsames europäisches Lagebild erstellt.
  • Die Malware hatten einen "Kill-switch" eingebaut: eine Domain, deren Existenz die Ausführung der Schadensroutine weltweit abgebrochen hat. Ein Sicherheitsforscher hat dies schnell entdeckt und diese Domain registriert. Das hat einerseits viel Schaden verhindert, andererseits konnte über besagte Domain ein Sinkhole für bestehende Infektionen installiert werden. CERT.at bekam die Daten für Österreich (unter 100 IP-Adressen).
  • In diesem Moment war der Schaden schon passiert, oder durch den Kill-switch verhindert worden. Die Ausbreitung von Würmern geht meistens so schnell, dass eine effektive Warnung nicht möglich ist.
  • Die Erkenntnisse rund um diesen Vorfall mündeten in einen Blogpost, der einige Fragen zu den Hintergründen zu beantworten versucht.

NotPetya (07 / 2017)

Während europaweit die Schäden der Schadsoftware "WannaCry" noch nicht vollständig behoben waren, ereignete sich ab 27.06.2017 mit der Verschlüsselungssoftware (Ransomware) "NotPetya" eine neuerliche Welle von Cyber Angriffen.

Bei NotPetya ging man initial davon aus, dass es sich auch um Ransomware handelte, es stellte sich jedoch heraus, dass diese Malware keine finanzielle Motivation hatte, sondern destruktiver Natur war. NotPetya war ein sogenanter "Wiper", dessen Ziel es war, die betroffenen Systeme unbrauchbar zu machen. Die Schadsoftware wurde über kompromittierte Software-Updates einer legitimen Software, die für das Verfassen von ukrainischen Steuererklärungen zu verwenden ist, verbreitet. Zwar waren europa- und weltweit wiederum zahlreiche Unternehmen von der Infektion betroffen, doch zeigte sich bald, dass nur jene Unternehmen infiziert wurden, die Büros in der Ukraine unterhielten, und falls von dort aus die Infektionen mittels der Wurm-Funktionalität über das Firmen-VPN andere Standorte erreichen konnte. Der Aufbau und die Funktion der Schadsoftware deuten in diesem Fall weniger auf eine Bereicherungsabsicht der Täter, als auf eine gezielte Sabotage der Infrastruktur eines Landes (Ukraine) hin. Wie schon bei WannaCry war auch hier die Mehrzahl der Angriffsvektoren bereits seit Monaten bekannt; fehlendes Patchmanagement und mangelndes Update-Bewusstsein ermöglichten trotzdem eine enorme Anzahl von Infektionen.

Aktuell gibt es innerhalb der Community keine exakten Statistiken, die Rede ist aber von ungefähr 2.000 Opfern (nicht infizierte Rechner, diese Anzahl ist viel höher). Sobald eine initiale Infektion mit NotPetya durch Ausnutzen bekannter Schwachstellen erfolgt, verbreitet sich die Malware innerhalb des eigenen Netzwerkes weiter und verschlüsselt alle Maschinen, die es finden kann. Diese sind danach unbenutzbar und müssen vollständig neu installiert werden.

CERT.at war hier in Österreich in koordinierender Rolle tätig, sowohl was die Informationskonsolidierung mit dem internationalen Partner betrifft, als auch zwischen einzelnen Betroffenen auf nationaler Ebene. Weiters leitete CERT.at Informationen an seine Konstituenten weiter und lieferte sehr erfolgreich ein nationales Lagebild. CERT.at war außerdem in der Lage, einigen Unternehmen wertvolle Tipps zu geben, um eine Infektion durch andere, bereits infizierte Niederlassungen des Unternehmens zu verhindern. Auch bei NotPetya wurde, wie schon bei Wannacry, vom CSIRTs Network gemäß der EU-SOPs ein europäisches Lagebild erstellt.

BadRabbit

BadRabbit war ein weiterer Ransomwarevorfall bei dem die initiale Infektion mittels Drive-by-Angriff auf gehackten, legitimen, Nachrichtenseiten erfolgte. Die Anzahl der Betroffenen war hier wesentlich geringer als bei NotPetya.

Die allgemein akzeptierte Schätzung spricht international von rund 200 Fällen einer Infektion. Der Großteil der Opfer befand sich in Russland, gefolgt von der Ukraine und der Türkei. Nachdem es zum Zeitpunkt der Angriffe keine Betroffenen in Österreich gab, musste CERT.at nicht im Bereich Incident Response aktiv werden. Die Arbeit von CERT.at beschränkte sich auf proaktives Verteilen von Informationen an seine Konstituenten, sowohl im nationalen Bereich als auch in seiner Rolle im GovCERT. CERT.at übernahm auch die Rolle des Informationsvermittlers an Medienvertreter.





<< Vorige Nächste >>