Wannacry-Nachfolger infiziert erste Rechner
Quelle: Pixabay

Wannacry-Nachfolger infiziert erste Rechner

Eine neue Schadsoftware nutzt mehrere NSA-Exploits, greift offenbar vor allem Nutzer an, die noch nicht den Wannacry-Patch eingespielt haben und scheint aus dem Umfeld der Wannacry-Erpresser zu stammen.
23. Mai 2017

     

Die Sicherheitsfirma Vectra Networks warnt vor erneuten Malware-Angriffen. Die Schadsoftware mit Namen Eternalrocks soll demnach aus dem Umfeld der Wannacry-Erpresser stammen und die gleiche Zielgruppe ins Visier nehmen. Dazu nutzt diese mehrere NSA-Exploits der Shadowbroker-Familie und greift vor allem Nutzer an, welche den Wannacry-Patch noch nicht eingespielt haben. Ausserdem soll es diesmal keinen Killswitch geben, welcher die Malware stoppen könnte.


Gérard Bauer, Vice President EMEA bei Vectra Networks, erklärt: "Es ist wichtig zu wissen, dass der Domain-Name, der als sogenannter 'Kill Switch' für Wannacry fungiert haben soll, möglicherweise gar kein Killswitch war, sondern vielmehr eine Technik, um Sandboxing-Malwaretests auszutricksen. Dadurch, dass die von WannCry gesuchte Domain aktiviert wurde, erhielt die Ransomware die Information, dass sie in einer Sandbox ausgeführt wird. Um nicht analysiert werden zu können, hat sich die Ransomware dann umgehend selbst deaktiviert. Der vermeintliche Kill Switch bzw. die Anti-Sandbox-Funktion konnten wir in Eternalrocks nicht finden. Die neue Version der Malware kann also nicht so einfach deaktiviert werden."
Bleibt die Malware unentdeckt, kann sich diese schnell innerhalb privater Netzwerke und auch über das Internet verbreiten. Dazu verwendet Eternalrocks das SMB File Sharing-Protokoll und infiziert dadurch ungepatchte Systeme, ohne dass die Nutzer dazu betrügerische Links in Phishing-Mails oder ähnliches anklicken müssen. Laut Vectra Networks verhält sich die Malware bislang eher passiv, allerdings sorge diese dafür, dass auf den betroffenen Systemen zusätzliche Einfallstore für weitere Malware und zukünftige Attacken entstehen.


Da sich Eternalrocks nicht sofort wie klassische Malware verhält, täuscht die Schadsoftware einige der klassischen SIEM-Tools (Security Information and Event Management), welche auf der periodischen Analyse von Log-Daten basieren. Und auch Signatur-basierte Malware-Erkennungstools (IDS) übersehen den Eindringling offenbar. Geschützt sind jedoch Nutzer, die auf Sicherheitslösungen setzen, bei denen das Netzwerk in Echtzeit automatisch auf Verhaltensweisen untersucht wird, die auf einen Angreifer schliessen lassen. (swe)


Weitere Artikel zum Thema

Von Wannacry verschlüsselte Daten lassen sich entschlüsseln

22. Mai 2017 - Unter bestimmten Umständen lassen sich durch die Ransomware Wannacry verschlüsselte Daten wiederherstellen. Ein Sicherheitsforscher entwickelte dazu ein Tool, welches unter gewissen Umständen bei Nutzern von Windows XP, Windows 2003 und Windows 7 funktioniert.

Wannacry-Patch für Windows XP gab's schon vor der Attacke

21. Mai 2017 - Microsoft verfügte offenbar schon vor dem Angriff über ein Gegenmittel für das Zero-Day-Leck in Windows XP, lieferte den Patch aber nur an Kunden mit Support-Vertrag. Erst nachdem der Wannacry-Angriff bereits im Gange war, erfolgte die Freigabe für jedermann.

Wannacry-Angriffe noch nicht zu Ende

15. Mai 2017 - Europol rechnet in den kommenden Tagen mit weiteren Opfern der Ransomware Wannacry beziehungsweise Wannacrypt. Die Angriffe scheinen jedoch bislang für die Täter wenig lukrativ gewesen zu sein.

Ransomware Wannacrypt hält Welt in Atem

14. Mai 2017 - Weltweit sollen mehr als 100'000 Rechner von der Ransomware Wanncry beziehungsweise Wannacrypt betroffen sein, die ein Leck nutzt, das von der NSA entdeckt und verwendet wurde. Die Schweiz ist offenbar glimpflich davongekommen.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Welche Farbe hatte Rotkäppchens Kappe?
GOLD SPONSOREN
SPONSOREN & PARTNER