Guido Vrola - Fotolia

BSI: Empfehlungen zum Schutz vor der Ransomware-Angriffswelle

Das BSI hat für Unternehmen Empfehlungen und Tipps zum Schutz im Hinblick auf die aktuelle Angriffswelle durch Ransomware veröffentlicht.

Seit dem 27. Juni läuft eine globale Angriffswelle durch Ransomware die weltweit die Computersysteme von zahlreichen Unternehmen und Behörden gestört hat. Nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik haben die Attacken teils massive Auswirkungen auf die Produktion und kritischen Geschäftsprozesse der betroffenen Firmen gehabt. Auch in Deutschland seien Unternehmen betroffen. Das BSI würde mit den Betroffenen in Kontakt stehen.

Die bei der Angriffswelle verwendete Ransomware wird inzwischen mit unterschiedlichen Namen bezeichnet, als da wären Petya, Petrwrap, NotPetya und exPetr. Ähnlich wie bei WannaCry soll bei diesem Angriff ein modifizierter EternalBlue-Exploit zum Einsatz gekommen sein. Zudem soll ein Angriff über den Update-Mechanismus einer ukrainischen Software namens MeDoc erfolgt sein. Die Ukraine ist besonders stark von dem Angriff betroffen.

Kaspersky Lab - Ransomware Infektionsrate
Abbildung 1: Nach Angaben von Kaspersky Lab sind insbesondere in der Ukraine und in Russland viele Systeme von der Infektion betroffen.

Für die eigentliche SMB-Schwachstelle in Windows steht bereits seit März ein entsprechender Patch (MS17-010) zur Verfügung. Ist allerdings erst einmal ein einziges System in einem Unternehmensnetzwerk infiziert, kann sich die Schadsoftware im Netzwerk mit Hilfe von Admin-Tools seitwärts ausbreiten und auch bereits gepatchte Systeme infizieren. Nach der Infektion erfolgt nach einer gewissen Zeitspanne ein Neustart des Systems. Dabei überschreibt die Schadsoftware den Master Boot Record (MBR) und verschlüsselt auch die Hauptdatei (MFT) des Dateisystems.

Ransomware - Schutzmaßnahmen

Das BSI hat nun folgende Empfehlungen für Unternehmen zum Schutz vor der aktuellen Ransomware-Angriffswelle zusammengestellt:

  • De-Aktivierung der Auto-Update-Funktion der Software MeDoc oder Sperrung der Domain upd.me-doc.com.ua (92.60.184.55)
  • Aufgrund der Ausnutzung der gängigen Administratorenwerkzeuge PsExec und wmic sollten die Administratorenrechte überprüft werden:
  • Lokale Administratoren sollten sich nicht über das interne Netz einloggen können
  • Lokale Administratoren dürfen auf unterschiedlichen Rechnern nicht das gleiche Passwort haben.
  • Idealerweise sollte der lokale Administrator deaktiviert sein
  • Netzwerke müssen segmentiert werden
  • Einspielen des Microsoft-Patches MS17-010
  • Aktualisierung der eingesetzten Antiviren-Programme
  • Mit bereits bestehenden Backups können Daten ersetzt werden

Gerade im Hinblick auf die Administratorrechte klingt vieles nach Best Practices, die dann in der Realität aber meist doch anders gelebt werden.

Der Präsident des BSI, Arne Schönbohm, hat sich erneut zum Thema geäußert: „Die aktuelle Cyberangriffswelle zeigt zum wiederholten Male deutlich, wie anfällig auch kritische Geschäftsprozesse in Unternehmen und Institutionen in einer digitalisierten Welt sein können. Man wird die Kompromittierung eines einzelnen Computers nicht immer verhindern können, aber sie darf nicht zum Ausfall eines ganzen Netzwerks führen! Angesichts der akuten Bedrohungslage rufen wir erneut dazu auf, Informationssicherheit zur Chefsache zu machen. Cybersicherheit ist die Voraussetzung für eine erfolgreiche Digitalisierung.“

Betroffene Unternehmen können sich unter der E-Mail-Adresse meldestelle@bsi.bund.de an das BSI wenden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Verschlüsselungstrojaner: Weltweite Angriffswelle mit Ransomware Petya

Microsoft: WannaCry ist ein Weckruf für alle

Wie man den Risikofaktor Windows SMB in den Griff bekommt

Best Practices: Ransomware verhindern oder eindämmen

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close