WannaCry eine der bisher grössten Cyberattacken

Freitagabend 12.Mai 2017 in Russland

Die Ransomware „WannaCry“ startet ihren Angriff in Russland. Computer des Gesundheits- und des Zivilschutzministeriums, des staatlichen Ermittlungskomitees sowie des Innenministerium werden von „WannaCry“ befallen. Alleine im Innenministerium sind ca. 1000 Rechner betroffen. Auch die grösste russische Bank Sberbank teilt mit, sie wurde von der Ransomware angegriffen.

Von Russland aus geht der Angriff weiter nach Europa.

Samstag 13.Mai 2017

Am Samstagmorgen waren in den Nachrichten erste Meldungen aus Grossbritannien zu hören, wo nach WannaCry mehrere Spitäler lahmlegte und zahlreiche Rechner des National Health Service (NHS) befallen hat. Bis Samstagabend waren mindestens 21 Spitäler von grösseren Störungen betroffen.

Im Laufe des Morgens traf eine Meldung aus Frankreich ein, wonach Renault den Betrieb in einigen Werken in Frankreich stoppte. Als „Schutzmaßnahme, um eine Ausbreitung der Schadsoftware zu verhindern“, sagte ein Firmensprecher der Nachrichtenagentur AFP.

Es folgten Meldungen aus Spanien und Portugal. In Spanien war (ist) die Telefongesellschaft „Telefonica“ betroffen und in Portugal die dortige Telecom.
Aus Deutschland kam die Meldung, dass die „Deutsche Bahn“ von der Schadsoftware betroffen ist, so fielen zum Beispiel die Anzeigetafeln aus. Beim Flughafen „Berlin Tegel“ fielen Ticket- und Parkautomaten aus.
Im Laufe des Nachmittags kam eine Meldung aus den USA wonach die Logistik Firma „FedEx“ von der Schadsoftware betroffen ist.
In China waren einige Computer von Schulen und Universitäten mit „WannaCry“ infiziert.

Bis heute (Sonntag, 14.05.2017) sind über 200’000 Computersysteme betroffen.

Inzwischen konnte die Verbreitung des Schädlings verlangsamt werden, da Sicherheitsforscher durch Zufall einen Mechanismus entdeckt haben, der die Verbreitung stoppt.
Im Code des Schädlings fanden sie den Hinweis auf eine seltsame Internetadresse, zu der noch keine passende Domain registriert war. Einer der Forscher registrierte die Adresse, wodurch sie aktiviert wurde. Der unter dieser Adresse betriebene Server bekam sofort tausende Anfragen. Durch die Antworten von diesem Server an die verseuchten Computer wurde die Verbreitung gestoppt.

Wie hat sich „WannaCry“ ausgebreitet und warum ging das so schnell?

Wie bei Kryptotrojanern üblich fand die Verbreitung einerseits per Email statt. Die zweite Verbreitung fand dann ähnlich wie bei einem „Wurm“ statt, „WannaCry“ suchte verwundbare Rechner im gleichen Netzwerk.

„WannaCry“ nützt eine sehr alte Sicherheitslücke des Betriebssystems Windows aus. Microsoft hat schnell und ausserplanmässig reagiert und einen Patch herausgegeben, sogar für nicht mehr unterstützte Windows-Versionen wie XP.

Vor Crypto-Lockern wie „WannCry“ (Kurzform von WannaCrypt) kann man sich schützen.

Sophos bietet mit Intercept X eine Schutzsoftware an, welche auch mit Antiviren-Software von anderen Herstellern funktioniert.
Sophos Intercept X ist auch in Sophos Central Endpoint Advanced enthalten.

 

Sie wollen mehr über Sophos Intecept X erfahren?
Besuchen sie am 30.05.2017 die Sophos Intercept X Tour im Colani.
Wir laden Sie gerne ein!  Zur Anmeldung geht es hier.

 

Posted in Hauptseite, Internet, IT-Sicherheit, Netzwerk and tagged , , , , , , , .