WannaCry/ NotPetya

Group of people standing in an office

In den letzten Monaten gab es zwei große Cyberangriffe auf Unternehmensrechner und private Computer. Angreifer brachten Ransomware in Umlauf, welche später unter den Namen WannaCry und NotPetya bekannt wurden. Wie Sie Ihr Unternehmen davor schützen können.


Jeder ist erpressbar

Als Ransomware wird jene Art von Schadprogramm bezeichnet, die Daten auf dem Computer verschlüsselt und anschließend Lösegeld verlangt, um die Dateien wieder zu entschlüsseln.

Die kürzlich in Umlauf geratenen Schadprogramme WannaCry und NotPetya unterscheiden sich von vergangener Ransomware dadurch, dass sie sich innerhalb eines (Firmen-)Netzwerkes ohne menschliches Zutun als sogenannter Wurm verbreiten. Dabei nutzen sie Windows-Schwachstellen, für die bereits im März 2017 ein Patch zur Fehlerbehebung zur Verfügung gestellt wurde.

Dass Angreifer die Schwachstellen trotzdem noch ausnutzen, liegt daran, dass einige Unternehmen das Einspielen von Updates stark verzögern.

WannaCry und NotPetya

Zu Beginn gelangte die Schadsoftware über die üblichen Wege wie veränderte Links und verseuchte E-Mail Anhänge in die Unternehmen. So kann oft schon ein falscher Klick in einer gefälschten E-Mail ausreichen, um das Unternehmensnetzwerk zu infizieren.

Die weitere Verbreitung findet über eine Schwachstelle statt, die sich im Microsoft-Protokoll SMB versteckt. Dieses Protokoll wird unter anderem für Datei- und Serverdienste in Rechnernetzen verwendet. Durch einen Programmierfehler in älteren Versionen dieses Protokolls ist es möglich, bösartige Codes am System auszuführen.

Nach der Infektion beginnt die Verschlüsselung des Systems. Während WannaCry lediglich Dateien am System verschlüsselt, geht NotPetya noch einen Schritt weiter. Wenn NotPetya mit einem Administrator-Benutzer ausgeführt wird, ändert und verschlüsselt dieser den Master Boot Record. Dieser enthält alle für den Systemstart relevanten Informationen. Durch diese Änderung und zusätzliche Verschlüsselungen am System ist es dem Benutzer nicht mehr möglich, das Gerät zu starten.

Sobald die Verschlüsselung abgeschlossen ist, wird der Benutzer über eine Mitteilung auf dem Bildschirm zur Überweisung eines bestimmten Betrages aufgefordert, um die Daten wieder entschlüsseln zu können.

Obwohl direkt nach Bekanntwerden der Schwachstelle durch Microsoft ein Sicherheitsupdate zur Verfügung gestellt wurde, konnten WannaCry und später NotPetya verheerenden Schaden anrichten. Die Verbreitung dieser Schadens-Software zeigt, dass auf vielen Systemen auch großer Unternehmen diese sicherheitsrelevanten Updates noch nicht eingespielt wurden. Aber nicht nur Sicherheitslücken im Windows-Betriebssystem bieten ein derartiges Einfallstor. Auch Fehler in Anwenderprogrammen oder Zusatzsoftware wie z. B. Adobe Reader oder Flash können Angreifern den Weg in das System erleichtern. 


Vier Tipps, wie Sie Ihr Unternehmen schützen können

1. Führen Sie Software-Updates sofort durch

Verschaffen Sie sich einen Überblick über die auf Ihren Systemen eingesetzte Software und deren Versionen. Informieren Sie sich über Update-Zyklen der im Einsatz befindlichen Programme und Betriebssysteme. Definieren Sie für Ihr Unternehmen ein regelmäßiges Überprüfungs- und Wartungsintervall zum Einspielen neuer Updates insbesondere für kritische Sicherheitsupdates. Diese sollten innerhalb von 24 Stunden im gesamten Netzwerk, ohne die üblichen internen Prüfungsverfahren, direkt ausgerollt werden.

Wenn Sie etwa im Industriebereich Spezialsoftware einsetzen, welche nicht auf aktuellen Systemen läuft, nehmen Sie diese aus dem Netzwerk und versuchen Sie, diese Software durch moderne Versionen zu ersetzen.

2. Cyber Threat Intelligence

Informieren Sie sich regelmäßig über die aktuelle Bedrohungslage, neu bekannt gewordene Angriffsvektoren und Sicherheitslücken der Software. Nutzen Sie diese Information, um Ihre Systeme präventiv auf mögliche Verwundbarkeiten zu überprüfen und Updates der Hersteller einzuspielen. Virenscanner und Firewalls alleine reichen als Schutz vor moderner Schadsoftware nicht mehr aus.

3. Awareness schaffen

Für die Verbreitung von WannaCry und NotPetya war keine dedizierte Benutzerinteraktion nötig. Es ist allerdings wichtig, die Mitarbeiter Ihres Unternehmens auf mögliche Cyberangriffe vorzubereiten und Awareness zu schaffen. So können Attacken frühzeitig erkannt und im Keim erstickt werden.

4. Kein Lösegeld zahlen

Wir empfehlen Ihnen, niemals für eine Ransomware zu bezahlen - es sei denn, es besteht eine Bedrohung für Leib und Leben. Wie in allen Erpressungssituationen gilt auch hier der Grundsatz, nicht nachzugeben. Durch die Bezahlung von Ransomwarefinanzieren Sie freiwillig die Entwicklung zusätzlicher Ransomware-Techniken.


Ihre Ansprechpartner von PwC sind gerne für Sie da!

Kontakt

Steffen Salvenmoser
Partner
Tel: +43 1 501 88-1104
Email

Kristof Wabl
Senior Manager, Forensic Services
Tel: +43 1 501 88 2019
Email

Christian Kurz
Senior Manager, Forensic Technology Solutions
Tel: +43 1 501 88 1407
Email

Folgen Sie uns