HiS-Cybersecurity Digest Juni 2017 veröffentlicht

HiS-Cybersecurity Digest Juni 2017

Die Top Themen des letzten Monats: WannaCry – betroffene Windows-Versionen, WannaCry – Folgen und Konsequenzen, Neues Geschäftsmodell: Shadow Brokers bieten „Wine of the Month Club“ an, 50 Shades of Crying – WannaCry-Varianten, Wer kriegt die meisten? Größenordnungen von Virenattacken, Die Würmer kommen zurück – neue Schwachstellen in Windows, Zweiter Korb gefällig? Weitere KRITIS-Grenzen bekanntgemacht, Quanten-Computing einfach erklärt.


Top Thema

Heul doch nicht – WannaCry schlägt weltweit zu
Der Erpressungstrojaner WannaCry hat in den letzten Wochen nicht nur viele IT-Verantwortliche aufgescheucht, sondern weit über diese Kreise hinaus für mediale Resonanz gesorgt. Selbst die deutsche Politik hat das Thema aufgegriffen und zu weiteren Bemühungen bei der IT-Sicherheit gemahnt. Das BKA hat die Ermittlungen übernommen. Besonders getroffen hat der Trojaner unter anderem den National Health Service, das staatliche Gesundheitssystem Großbritanniens, welcher großflächig eingeschränkt war. Auch tausende Bahnreisende in Deutschland konnten die Nachricht der Erpresser auf Anzeigetafeln der DB lesen. Ticketautomaten waren ebenfalls betroffen.

WannaCry nutzte eine Schwachstelle im SMB-Protokoll von Windows-Systemen aus, um sich wurmartig über das Netzwerk zu verbreiten. Dem amerikanischen Geheimdienst NSA war dieses Leck zwar seit über fünf Jahren bekannt, dieser hatte es aber vorerst lieber selbst ausgenutzt. Erst als eine Hackergruppe („The Shadow Brokers“) den Werkzeugkasten der NSA entwendet hatte und drohte, diesen häppchenweise zu verkaufen oder zu veröffentlichen, meldete die NSA die Schwachstelle an Microsoft. Microsoft hatte das Problem auch bereits im März behoben, In vielen Fällen wurde der Patch allerdings nicht zeitnah eingespielt. Im April wurde dann das NSA-Werkzeug veröffentlicht, das diese Lücke ausnutzt (https://github.com/misterch0c/shadowbroker/).


Neuigkeiten im Mai:

WannaCry – betroffene Windows-Versionen
Microsoft lieferte nach dem Ausbruch von WannaCry sogar Patches für eigentlich nicht mehr unterstützte Versionen wie Windows XP nach. Das zeigt, welche Bedeutung der Hersteller der Bedrohung beimisst. Der Sicherheitsexperte Brian Krebs hat darauf hingewiesen, dass in 90% der Einrichtungen des britischen National Health Service (NHS) noch immer XP-Systeme betrieben werden (https://krebsonsecurity.com/2017/05/microsoft-issues-wanacrypt-patch-for-windows-8-xp/). Für diese ist grundsätzlich eine Vielzahl von Schwachstellen bekannt, gerade für die wurmartige Verbreitung von WannaCry sind sie jedoch nicht empfänglich. Kaspersky stellte dementsprechend heraus, dass ca. 98 Prozent der registrierten Infektionen Windows 7 betreffen (https://twitter.com/craiu/status/865562842149392384/). Windows 10 war diesmal nicht verletzlich. 
Frank Oschmann, Experte für System Security bei der HiSolutions AG, deutet die Einschränkung der NHS-Dienste auch eher als prophylaktische Maßnahme, die eine weitere Ausbreitung der Infektion vermeiden sollte. Der Autokonzern Renault ging ähnlich vor: In einem der größten Werke wurde der Betrieb vorübergehend eingestellt. 3.500 Mitarbeiter blieben einen Tag lang zu Hause.

--------------------------------------------------------------
WannaCry – Folgen und Konsequenzen
Die Infektion erfolgte wie so oft über manipulierte Attachments in E-Mails. In vielen Fällen konnte sich der Schädling aufgrund mangelhafter Separierung von Netzwerksegmenten und fehlender Firewalls auch selbst ungehindert ausbreiten, weil viele ungepatchte oder veraltete Systeme direkt vom Büro-Netzwerk aus erreichbar waren. Insgesamt wurden weltweit ca. 467.000 Systeme infiziert (https://intel.malwaretech.com/botnet/wcrypt/), jedoch in 322 Zahlungsvorgängen nur ca. USD 150.000 an Lösegeld gezahlt (https://twitter.com/actual_ransom/status/869372866042703872/).

In die ursprüngliche Version des Virus war die Prüfung einer – zunächst nicht registrierten – Domain eingebaut, bei deren Vorhandensein WannaCry sich nicht aktivierte. Untersuchungsumgebungen von Virenforschern, sogenannte „Sandboxes“, würden die Existenz einer unbekannten Domain zunächst einmal bestätigen in der Hoffnung, dann mehr über die Schadsoftware zu lernen. Daher liegt der Verdacht nahe, dass dieses Feature als Gegenmittel gegen Analysen eingebaut war. Als nun ein junger britischer Sicherheitsforscher geistesgegenwärtig diese Domain registrierte, stoppte er mit diesem „Killswitch“ die erste große Welle von WannaCry-Infektionen zumindest für solche Nutzer, deren Systeme nach außen auf fremde Domains zugreifen dürfen. Spätere Varianten von WannaCry verzichteten inzwischen auf diesen Schuss in den eigenen Fuß. 
https://blog.comae.io/wannacry-new-variants-detected-b8908fefea7e/ 

--------------------------------------------------------------
Neues Geschäftsmodell: Shadow Brokers bieten „Wine of the Month Club“ an
Die Hackergruppe Shadow Brokers – von der einige vermuten, dass sie mit dem russischen Geheimdienst FSB verbunden ist – hatte ursprünglich versucht, die kompletten von der NSA entwendeten Angriffstools für 1 Million Bitcoin (rund 1,5 Mrd. Euro) zu versteigern. Erst nachdem scheinbar niemand auf das Angebot eingegangen war und auch der Verkauf von Einzelstücken für USD 780 bis USD 78.000 nur schleppend verlief, veröffentlichten sie das Arsenal, aus dem u. a. auch WannaCry gebaut wurde. 
http://thehackernews.com/2017/05/shodow-brokers-wannacry-hacking.html 

Ihre neue Idee ist nun, interessierte Kunden ab Juni unter dem Namen „Wine of the Month Club“ in einer Art Monatsabonnement häppchenweise mit neuen Geheimnissen zu beglücken. Dabei geht es angeblich um hochkarätige Exploits und Interna. Diesmal soll auch das von den letzten Leaks verschonte Windows 10 betroffen sein.
https://steemit.com/shadowbrokers/@theshadowbrokers/oh-lordy-comey-wanna-cry-edition/ 

--------------------------------------------------------------
50 Shades of Crying – WannaCry-Varianten
Inzwischen wurden verschiedene Varianten von WannaCry gesichtet, auch eine ohne Kryptoerpressung, Adylkuzz genannt. Sie nutzt die gesammelte Rechenkapazität der übernommenen Systeme, um Kryptogeld zu erzeugen. Die dabei eingesetzte Hintertür für das Nachladen von Schadsoftware nennt sich DoublePulsar und stammt ebenfalls von der NSA. Immerhin blockiert Adylkuzz die SMB-Kommunikation und verhindert so einen weiteren Befall über diesen Weg etwa durch WannaCry.
https://www.proofpoint.com/us/threat-insight/post/adylkuzz-cryptocurrency-mining-malware-spreading-for-weeks-via-eternalblue-doublepulsar/ 

Es wird erwartet, dass demnächst weitere Varianten auftauchen. Man kann davon ausgehen, dass sie meist „wormable“ sind, sich im lokalen Netzwerk also selbst verbreiten. Kritisch wird es vor allem dann, wenn es nicht wie diesmal schon einen Patch gibt, den viele bereits eingespielt haben. Umso mehr kommt es für Unternehmen nun darauf an, Netze so zu konstruieren, dass nicht ein einzelner Rechner alle anderen erreichen kann. 
https://blog.oup.com/2017/05/what-wannacry-attack-means/ 

--------------------------------------------------------------
Wer kriegt die meisten? Größenordnungen von Virenattacken
WannaCry ist in mehrerer Hinsicht beeindruckend und ein Vorgeschmack auf zukünftige Angriffswellen. Die Attacke ist jedoch nicht die schlimmste der letzten Jahre – weder hinsichtlich des angerichteten Schadens noch hinsichtlich der Menge der befallenen Systeme. Rund einer halben Million WCry-Infektionen stehen 9-15 Millionen mit Conficker und 16 Millionen mit Blaster gegenüber. Slammer hatte es gar geschafft, fünf DNS-Rootserver in die Knie zu zwingen.
https://twitter.com/DFIR_Janitor/status/864930528088252417/ 

--------------------------------------------------------------
Die Würmer kommen zurück – neue Schwachstellen in Windows
Forscher um Tavis Ormandy bei Googles Project Zero haben eine besonders kritische „wormable“ Schwachstelle gegen Windows gemeldet (https://twitter.com/taviso/status/860679110728622080/). Sie betraf den Windows Defender, also eine eigentlich der Verteidigung dienende Komponente, und war auch über WAN (z. B. per Email) erreichbar. Microsoft hat das Loch entsprechend der Kritikalität in Rekordzeit geflickt.
https://www.bleepingcomputer.com/news/security/google-researchers-find-wormable-crazy-bad-windows-exploit/ 

--------------------------------------------------------------
Zweiter Korb gefällig? Weitere KRITIS-Grenzen bekanntgemacht
Die Bundesregierung hat am 31. Mai 2017 die Änderungsverordnung zur KRITIS-Verordnung beschlossen. Künftig unterliegen weitere Unternehmen dieser Verordnung zur Bestimmung kritischer Infrastrukturen. Die KRITIS-Grenzen für die Sektoren Gesundheit, Finanzen und Versicherung sowie Transport und Verkehr stehen nun fest. Krankenhäuser ab 30.000 stationären Fällen pro Jahr, Kontoführungssysteme ab 15 Millionen Transaktionen im Jahr oder Logistikzentren und Umschlaganlagen ab 17 Millionen Tonnen Güter im Jahr müssen demnach nun neuen Anforderungen nach dem IT-Sicherheitsgesetz gerecht werden. Nach den Kriterien, die jetzt in der BSI-KritisV für den Gesundheitsbereich festgelegt sind, fallen in Deutschland voraussichtlich 110 Krankenhäuser , 151 Apotheken und Betriebsstätten zur Entnahme, Weiterverarbeitung und Lagerung von Blutspenden sowie 105 Einrichtungen aus der Laboratoriumsdiagnostik in den Geltungsbereich. 
https://isac.digital/angebote/news/kritis-grenzen-fuer-den-zweiten-korb/ 
https://www.aerzteblatt.de/nachrichten/76084/Kritische-Infrastruktur-Regierung-legt-Kriterien-fuers-Gesundheitswesen-fest 

--------------------------------------------------------------
Outsourcing I: 100 Mio. Euro versenkt – menschliches Versagen im Rechenzentrum
Verursacht durch einen Fehler im Rechenzentrum gab es Flugausfälle bei British Airways. Die Kosten belaufen sich auf ca. 100 Mio. Euro und haben den Unternehmenswert beeinträchtigt. Es gibt Hinweise darauf, dass ein externer Wartungstechniker versehentlich den Strom abgeschaltet hatte. Dies zeigt, wie wichtig es gerade bei Outsourcing ist, geordnete Prozesse und Abläufe zu definieren sowie die Tätigkeit der Externen durch Schulungen und Überwachung zu begleiten.
https://www.thetimes.co.uk/article/ba-power-fiasco-blamed-on-staff-blunder-tbfhxwsw2/ 

--------------------------------------------------------------
Outsourcing II: 7.000% teurer – die finanziellen Grenzen der Verfügbarkeit
Clouddienste werden häufig nicht zuletzt wegen ihrer hohen Verfügbarkeit gewählt. Dies kann nach hinten losgehen, wenn nicht alles Kleingedruckte immer genau studiert wird oder der Anbieter Funktionalitäten oder Preismodelle einseitig verändert. Im vorliegenden Fall sollte ein Startup plötzlich gut 70 Mal so viel für einen Datenbankdienst zahlen, obwohl sich an der Nutzung nichts geändert hatte. Erst die Veröffentlichung im folgenden Blog führte zu einem Gespräch mit Googles Firebase-Dienst und zu einer Kulanzregelung.
https://medium.com/@contact_16315/firebase-costs-increased-by-7-000-81dc0a27271d/ 

--------------------------------------------------------------
Wissen Ihre Kinder schon bescheid? Quanten-Computing einfach erklärt
Wenn Sie schon immer einmal wissen – oder jemandem erklären – wollten, wie Quanten-Computing wirklich funktioniert, sich aber nie zu fragen trauten und die Bravo Ihre Frage nicht abdrucken wollte, empfehlen wir den folgenden charmanten Comic:
https://imgur.com/gallery/Ftilh/ 

Der nächste HiS-Cybersecurity Digest erscheint Anfang Juli 2017.

Für Rückfragen und Anregungen kontaktieren Sie uns gern!

Jetzt teilen: