Haben Unternehmen den Warnschuss nicht gehört?
Skybox-Expertin: Zwei Jahre nach WannaCry keine Entwarnung
Vor zwei Jahren richtete die Erpresser-Software WannaCry weltweit verheerende Schäden an. Marina Kidron, Director of Threat Intelligence bei Skybox Security, äußerte sich vor Kurzem zu den heutigen Gefahren von Ransomware.
Mai 2017: Der Kryptotrojaner WannaCry verschafft sich weltweit Zugang zu Computern mit Microsoft-Windows-Betriebssystemen und verschlüsselt Dateien. Um wieder an die Daten zu kommen, sind Lösegeldzahlungen in der Kryptowährung Bitcoin fällig. Das gefährliche Potenzial von WannaCry: Seine unglaublich schnelle Fortpflanzungsfähigkeit. Innerhalb weniger Stunden befällt die Ransomware ganze Unternehmen über den gesamten Globus hinweg.
Zwei Jahre später stellt sich laut Kidron die Frage, ob Unternehmen aus dem Angriff gelernt und entsprechende Schutzmaßnahmen umgesetzt haben. Da immer wieder neue Bedrohungen mit ähnlichen Charakteristiken für Aufregung sorgen, könne es schließlich jederzeit wieder zu einem Angriff vergleichbaren Ausmaßes kommen.
Die Expertin erklärt weiter, dass die Branche im Hinblick auf WannaCry Mark 2 "noch lange nicht über den Berg" ist. Allein im vergangenen Jahr wies Windows 32 Schwachstellen auf, die den von WannaCry angegriffenen stark ähnelten. Theoretisch könne jede nicht beseitigte Schwachstelle zum Einfallstor für einen weiteren globalen Angriff werden.
Berichte über tendenziell rückläufige Ransomware-Angriffe sind laut Kidron tückisch und können CTOs in falscher Sicherheit wiegen. Einige Unternehmen, die das Thema Cyber Security bisher eher stiefmütterlich behandelt haben, mussten diese Lektion erst kürzlich auf die härteste Weise lernen. Die Ransomware "Sodinokibi", die eine Oracle Weblogic Zero-Day-Schwachstelle ausgenutzt hat, verursachte teils erhebliche Schäden. Mit der Implementierung entsprechender Werkzeuge hätten diese angegriffenen Schwachstellen identifiziert und - noch wichtiger - priorisiert und letztlich eliminiert werden können.
Am 14. Mai veröffentlichte Microsoft die als kritisch eingestufte Schwachstelle BlueKeep. Diese sei besonders gefährlich, so Kidron, weil sie keine Benutzerinteraktion erfordert. Das heißt, jeder anfällige Windows Server der Versionen Windows 7, Windows Server 2008 R2, Windows XP und Windows Server 2003 ist gefährdet, sobald er mit dem Internet verbunden ist. Diese älteren Versionen von Windows sind vor allem in OT-Umgebungen noch weit verbreitet. Ein nicht authentifizierter Remote-Angreifer kann das Netzwerk hacken, indem er sich per RDP mit einem Windows Server verbindet und einen beliebigen Code auf diesem ausführt. Weil eben keine Benutzerinteraktion nötig ist, kann dies im Verborgenen passieren. Bisher wurde BlueKeep glücklicherweise bisher weder automatisiert noch gezielt ausgenutzt.
Das Gefährliche an BlueKeep ist, dass über diese Schwachstelle ins OT-Netzwerk eingedrungen werden kann und sich die Schadsoftware dann sehr schnell in der gesamten Umgebung fortpflanzt. Aus der Erfahrung mit WannaCry wisse man, so Kidron, dass derartige Szenarien, sollten sie auftreten, einen regelrechten BlueKeep-Tsunami auslösen können.
Während einige Organisationen die epidemieartige Verbreitung von WannaCry ernst genommen und Maßnahmen ergriffen haben, gibt es laut der Expertin noch immer Unternehmen, die leichtfertig mit der Bedrohung umgehen. Zunächst ist es essenziell, sich einen Gesamtüberblick über die komplette Infrastruktur zu verschaffen. Am besten gelingt dies in Form eines visualisierten Netzwerkmodells, in dem Schwachstellen quasi in Echtzeit identifiziert und im Kontext priorisiert werden. So können Maßnahmen in die Wege geleitet werden, um diese Schwachstellen abzuschwächen oder ganz zu beseitigen. Ein weiterer Vorteil ist die Möglichkeit, Angriffe von außen und innen in diesem Modell simulieren zu können, sodass man eine mögliche Ausbreitung von Malware und die damit verknüpften Auswirkungen realistisch abschätzen kann.
Nur auf der Basis eines Modells, das sowohl IT als auch OT und cloudbasierte Netzwerke beinhalte, lassen sich laut Kidron Maßnahmen definieren, um die kritischsten Schwachstellen zu identifizieren, entsprechend ihres tatsächlichen Risikos im Kontext der Unternehmensinfrastruktur zu priorisieren und dementsprechend auch als erste zu beseitigen. WannaCry habe gelehrt, dass, obwohl es sich dabei um einen sehr publikumswirksamen Exploit mit einem verfügbaren Patch handelte, dennoch noch eine große Anzahl von Unternehmen betroffen war. Der einfache Grund dafür war, dass in diesen Organisationen die erforderlichen Kontextinformationen nicht ins Schwachstellen-Management integriert waren.
Ohne diese essenziellen Zusammenhänge seien die heutzutage zahllosen Schwachstellen nicht sinnvoll zu erfassen und zu beseitigen, so die Expertin weiter - man stehe sprichwörtlich im Dunkeln und müsse hoffen, dass man selbst von einem Angriff verschont bleibt.
Weitere Informationen stehen auf www.skyboxsecurity.com/DACH zur Verfügung.
Lesen Sie mehr zum Thema
