WannaCry Ransomware Campaign

WannaCry Ransomware-Kampagne – Details zur Bedrohungslage und zur Schadensvermeidung

Seit 12. Mai 2017 greift eine sehr umfangreiche Ransomware-Kampagne Organisationen weltweit an. Die WannaCry (auch WCry oder WanaCryptor genannt) Malware ist eine sich selbst weiterverbreitende, wurmartige Ransomware, die sich durch das interne Netzwerk und über das öffentlich zugängliche Internet verbreitet, indem es eine Schwachstelle im Microsoft Server Message Block (SMB) Protokoll ausnutzt. Die Malware versieht verschlüsselte Dateien mit einer .WCRY Erweiterung, legt ein Verschlüsselungswerkzeug ab und führt es aus und fordert von den betroffenen Organisationen 300 oder 600 USD in Form von Bitcoins zur Entschlüsselung der Dateien. Dabei benutzt die Malware verschlüsselte Tor-Kanäle zur Command and Control (C2) Kommunikation.

Basierend auf unserer Analyse bestehen bösartige Binärdateien, die mit der WannaCry-Kampagne verknüpft sind, aus zwei verschiedenen Komponenten: Die erste stellt die Ransomware-Funktion dar, die sich sehr ähnlich zu WannaCry-Malware-Samples verhält, die vor dem 12. Mai entdeckt wurden. Die zweite Komponente wird zur Ausbreitung verwendet und verfügt über die bereits erwähnten Scan- und SMB Exploit-Fähigkeiten.

Angesichts der schnellen und umfangreichen Verbreitung der Ransomware, sieht FireEye iSIGHT Intelligence in diesen Aktivitäten weiterhin ein signifikantes Risiko für alle Organisationen, die einen potentiell verwundbaren Windows Rechner nutzen.

Infektionsvektor

WannaCry nutzt eine Schwachstelle von Windows SMB (Server Message Block) aus, um die Verbreitung in einer Umgebung zu ermöglichen, nachdem es dort fußgefasst hat. Diesen Verbreitungsmechanismus kann die Malware sowohl im befallenen Netzwerk als auch über das öffentlich zugängliche Internet streuen. Der verwendete Exploit ist unter dem Codenamen „EternalBlue“ bekannt und wurde von den ShadowBrokers veröffentlicht. Die Schwachstelle wurde mit Microsoft Patch MS17-010 geschlossen.

Gemäß unserer Analyse erzeugt die Malware zwei Threads. Der erste listet die Netzwerkadapter auf und bestimmt, in welchen Subnetzen sich das System befindet. Die Malware generiert darauf einen Thread für jede IP im Subnetz. Jeder dieser Threads versucht, eine Verbindung zu jeder IP auf dem TCP-Port 445 herzustellen und bei Erfolg die Schwachstelle auszunutzen. Ein Beispiel für einen Exploitversuch zeigt die nachfolgende Abbildung.

Infolge der gefundenen Schwachstelle hat Microsoft spezifische Schritte zur Schadensvermeidung für WannaCry zur Verfügung gestellt.

Obwohl sich WannaCry hauptsächlich durch die SMB-Schwachstelle verbreitet hat, nutzen seine Urheber wahrscheinlich auch andere Verteilungsmethoden. Erste Berichte weisen darauf hin, dass WannaCry durch bösartige Links in Spam-Mails verbreitet wurde. Dennoch konnte FireEye diese Information zum aktuellen Zeitpunkt nicht durch eigene Nachforschungen bestätigen.

Unabhängig vom ursprünglichen Infektionsvektor konnten die WannaCry-Urheber jeden beliebigen Verteilmechanismus adaptieren, der für Ransomware-Aktivitäten üblich ist, wie schädliche Dokumente, Schadwerbung oder das Kompromittieren von häufig frequentierten Webseiten. In Anbetracht der bisherigen Auswirkungen der Kampagne und der Unklarheiten zu Vektoren, die die Verteilung der Kampagne ermöglicht haben, sollten Organisationen jeden gängigen Malware-Angriffsvektor als potentielle Quelle einer WannaCry-Infizierung betrachten.

Charakteristika der WannaCry-Malware

Jede der bisher identifizierten WannaCry-Varianten (die über eine wurm-ähnliche Funktion verfügen) verfügte über einen Killswitch, mit dem einige Sicherheitsforscher verhindern konnten, dass die Malware Dateien verschlüsselt. Allerdings konnten die Urheber dieses Feature entfernen oder modifizieren, wie das Auftreten von verschiedenen Varianten mit neuen Domains zeigt.

  • Nach der Infizierung eines Opfersystems verbreitete sich das WannaCry-Paket vom 12. Mai und versuchte, Kontakt zu www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. herzustellen. Wenn die Malware diese Domain erfolgreich kontaktieren konnte, führte sie keine Verschlüsselung oder Weiterverbreitung mehr durch, wie FireEye im Test bestätigt hat. Einige Organisationen berichteten, dass die Malware fortfährt, sich selbst zu verbreiten – dies konnte FireEye in einer Testumgebung nicht bestätigen. Besagte Domain wurde am 12. Mai von einem Sicherheitsspezialisten registriert, dies stoppte offenbar die Verschlüsselung bei vielen Infektionen. Die WannaCry-Entwickler könnten diese Killswitch-Funktion bewusst eingebaut haben, damit sie als Erkennung einer Sandbox-Analyse dient.
  • Am 14. Mai tauchte eine Variante mit neuer Killswitch-Domain auf: www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. Diese Domain wurde ebenfalls zum Sinkhole gemacht, wodurch das Killswitch-Verhalten scheinbar alle WannaCry-Infektionen deaktiviert wurden, die die Domain kontaktierten. Ob diese Änderung der Domain von den ursprünglichen Betreibern oder von Dritten modifiziert wurde, die verbreitete Samples modifiziert haben, ist unklar.
  • Ebenfalls am 14. Mai wurde eine neue Variante identifiziert, die nicht über die Killswitch-Funktion verfügt. Allerdings kann diese Änderung auch von Dritten implementiert worden sein, nachdem die Malware erstellt wurde und muss nicht von den Urhebern stammen. Der Ransomware-Bausatz dieser Variante scheint beschädigt zu sein und funktioniert nicht in Testumgebungen.
Zuordnung von WannaCry

Zum jetzigen Zeitpunkt sind vielfache potenzielle Zuordnungsszenarien für die WannaCry-Aktivität realistisch. Wir untersuchen weiterhin alle möglichen Szenarien.

Finanziell motivierte Cyberkriminelle sind typischerweise für Ransomware-Operationen verantwortlich, viele dieser Akteure agieren weltweit und unabhängig voneinander. Dennoch ist keiner dieser Akteure ein aussichtsreicher Kandidat, um ihn der WannaCry-Operation zuzuordnen.

Einige Aspekte der WannaCry-Operation deuten darauf hin, dass die Urheber nicht sehr ausgereift vorgegangen sind und nicht damit gerechnet haben, dass die Malware sich so weit verbreiten würde, wie sie es hat. Einer dieser Aspekte ist die erwähnte Killswitch-Funktion. Erfahrene Malware-Entwickler, die mit der Bekämpfung von sicherheitstechnischen Gegenmaßnahmen Erfahrung haben, hätten wahrscheinlich erkannt, dass diese Funktion eine Bedrohung für den Erfolg der Malware darstellt. Ein weiterer Aspekt ist, dass bekannt gewordene Lösegeldzahlungen eher gering sind. Dies deutet möglicherweise darauf hin, dass das Zahlungssystem der Betreiber nicht in der Lage ist, die Auswirkungen der weltweiten Infizierungen abwickeln zu können.

Zahlreiche öffentlich verfügbare Berichte führen derzeit eine mögliche nordkoreanische Beteiligung an dieser Kampagne an. Basierend auf der ersten Analyse von FireEye sind die Code-Ähnlichkeiten, die zwischen der mutmaßlich mit Nordkorea verknüpften Malware und WannaCry zitiert werden, ein Hinweis, den es weiter zu untersuchen gilt. Dennoch sind die Ähnlichkeiten nicht spezifisch genug, um ohne weitere Beweise eindeutig für einen gemeinsamen Urheber zu sprechen.

Auswirkungen von WannaCry

Trotz ermutigender Berichte über abnehmende Bedrohungsaktivität stellt WannaCry weiterhin ein erhebliches Risiko dar. Angesichts der effektiven Ausbreitungsmechanismen der Malware ist nahezu jede Organisation, die die von Microsoft empfohlenen Sicherheitsmaßnahmen nicht angewendet hat, weiterhin von einer potentiellen WannaCry-Ausbreitung bedroht. Darüber hinaus zeigt das Auftreten neuer Varianten, dass die Killswitch-Funktionen bei Bedarf entfernt oder signifikant modifiziert werden könnten, um Gegenmaßnahmen zu vermeiden. Öffentliche Berichte zeigen, dass Vorfälle, die mit der WannaCry-Ransomware-Familie in Zusammenhang stehen, in vielen Ländern auftraten.

Schadensvermeidung

Organisationen, die sich vor dieser Bedrohung schützen wollen, sollten den Blog von Microsoft lesen, welcher die SMB-Schwachstelle thematisiert.

Die rasche, umfangreiche Ausbreitung dieser Ransomware hat zu schnellen, proaktiven Updates für das gesamte FireEye-Portfolio von Erkennungstechnologien, Threat Intelligence Analysen und Empfehlungen sowie Beratungsdiensten von FireEye geführt.

Die Netzwerk-, E-Mail- und Endpoint-Produkte von FireEye verfügen über Mechanismen zur Erkennung von Ransomware. Diese können neue Ransomware (darunter auch WannaCry), die über Web und E-Mail gestreut wird, proaktiv erkennen und, falls sie inline oder mit aktiviertem Exploit Guard eingesetzt werden, blockieren. FireEye-Kunden werden durch die folgenden Warnmeldungen alarmiert:

  • HX: WMIC SHADOWCOPY DELETE, WANNACRY RANSOMWARE, *Ransom.WannaCryptor.*, oder Trojan.Generic*. Exploit Guard und Anti-Virus Alarmbezeichnungen hängen von den Verteilungsmechanismus ab
  • NX/EX: Malware.Binary.exe, Trojan.Ransomware.MVX, Ransomware.Wcry.*, FE_Ransomware_WannaCry.*, Trojan.SinkholeMalware, oder Malicious.URL
  • EX only: Phish.URL or FE_EMAIL_MALICIOUS_EXM_*
  • TAP: WANNACRY RANSOMWARE

FireEye-Produkte erkennen auch spätere Phasen der WannaCry-Aktivität, wie Command and Control-Kommunikation und Host-Indikatoren für bestehende WannaCry-Infektionen. Darüber hinaus können FireEye PX (Network Forensics) Sensoren, die intern eingesetzt und von FireEye as a Service (FaaS) überwacht werden, SMB-Ausbreitungen erkennen. Kunden können bestätigte Indikatoren nutzen, um mögliche Infektionen aufzuspüren. Diese Indikatoren wurden für Kunden der FireEye HX-Reihe (Endpoint) bereitgestellt und sind auf dem MySIGHT Intelligence Portal für iSIGHT Abonnementkunden verfügbar.

Netzwerk-Proxies und andere Enterprise-Netzwerk-Sicherheitsfunktionen können verhindern, dass die Malware ihre Killswitch-Domäne kontaktiert und damit versehentlich die Verschlüsselung auslöst. Organisationen können ihre Proxy-Konfigurationen oder andere Netzwerkkonfigurationen anpassen, um dieses Problem zu vermeiden. Darüber hinaus stehen eine Reihe von Indicators of Compromise zur Verfügung, die fortlaufend aktualisiert werden.