Wannacry-Nachfolger infiziert erste Rechner

von Simon Wegmüller

23. Mai 2017 - Eine neue Schadsoftware nutzt mehrere NSA-Exploits, greift offenbar vor allem Nutzer an, die noch nicht den Wannacry-Patch eingespielt haben und scheint aus dem Umfeld der Wannacry-Erpresser zu stammen.

Die Sicherheitsfirma Vectra Networks warnt vor erneuten Malware-Angriffen. Die Schadsoftware mit Namen Eternalrocks soll demnach aus dem Umfeld der Wannacry-Erpresser stammen und die gleiche Zielgruppe ins Visier nehmen. Dazu nutzt diese mehrere NSA-Exploits der Shadowbroker-Familie und greift vor allem Nutzer an, welche den Wannacry-Patch noch nicht eingespielt haben. Ausserdem soll es diesmal keinen Killswitch geben, welcher die Malware stoppen könnte.

Gérard Bauer, Vice President EMEA bei Vectra Networks, erklärt: "Es ist wichtig zu wissen, dass der Domain-Name, der als sogenannter 'Kill Switch' für Wannacry fungiert haben soll, möglicherweise gar kein Killswitch war, sondern vielmehr eine Technik, um Sandboxing-Malwaretests auszutricksen. Dadurch, dass die von WannCry gesuchte Domain aktiviert wurde, erhielt die Ransomware die Information, dass sie in einer Sandbox ausgeführt wird. Um nicht analysiert werden zu können, hat sich die Ransomware dann umgehend selbst deaktiviert. Der vermeintliche Kill Switch bzw. die Anti-Sandbox-Funktion konnten wir in Eternalrocks nicht finden. Die neue Version der Malware kann also nicht so einfach deaktiviert werden."

Bleibt die Malware unentdeckt, kann sich diese schnell innerhalb privater Netzwerke und auch über das Internet verbreiten. Dazu verwendet Eternalrocks das SMB File Sharing-Protokoll und infiziert dadurch ungepatchte Systeme, ohne dass die Nutzer dazu betrügerische Links in Phishing-Mails oder ähnliches anklicken müssen. Laut Vectra Networks verhält sich die Malware bislang eher passiv, allerdings sorge diese dafür, dass auf den betroffenen Systemen zusätzliche Einfallstore für weitere Malware und zukünftige Attacken entstehen.

Da sich Eternalrocks nicht sofort wie klassische Malware verhält, täuscht die Schadsoftware einige der klassischen SIEM-Tools (Security Information and Event Management), welche auf der periodischen Analyse von Log-Daten basieren. Und auch Signatur-basierte Malware-Erkennungstools (IDS) übersehen den Eindringling offenbar. Geschützt sind jedoch Nutzer, die auf Sicherheitslösungen setzen, bei denen das Netzwerk in Echtzeit automatisch auf Verhaltensweisen untersucht wird, die auf einen Angreifer schliessen lassen.

Copyright by Swiss IT Media GmbH / 2024