Wannacry-Nachfolger infiziert erste Rechner

Wannacry-Nachfolger infiziert erste Rechner

Wannacry-Nachfolger infiziert erste Rechner

(Quelle: Pixabay)
23. Mai 2017 -  Eine neue Schadsoftware nutzt mehrere NSA-Exploits, greift offenbar vor allem Nutzer an, die noch nicht den Wannacry-Patch eingespielt haben und scheint aus dem Umfeld der Wannacry-Erpresser zu stammen.
Die Sicherheitsfirma Vectra Networks warnt vor erneuten Malware-Angriffen. Die Schadsoftware mit Namen Eternalrocks soll demnach aus dem Umfeld der Wannacry-Erpresser stammen und die gleiche Zielgruppe ins Visier nehmen. Dazu nutzt diese mehrere NSA-Exploits der Shadowbroker-Familie und greift vor allem Nutzer an, welche den Wannacry-Patch noch nicht eingespielt haben. Ausserdem soll es diesmal keinen Killswitch geben, welcher die Malware stoppen könnte.

Gérard Bauer, Vice President EMEA bei Vectra Networks, erklärt: "Es ist wichtig zu wissen, dass der Domain-Name, der als sogenannter 'Kill Switch' für Wannacry fungiert haben soll, möglicherweise gar kein Killswitch war, sondern vielmehr eine Technik, um Sandboxing-Malwaretests auszutricksen. Dadurch, dass die von WannCry gesuchte Domain aktiviert wurde, erhielt die Ransomware die Information, dass sie in einer Sandbox ausgeführt wird. Um nicht analysiert werden zu können, hat sich die Ransomware dann umgehend selbst deaktiviert. Der vermeintliche Kill Switch bzw. die Anti-Sandbox-Funktion konnten wir in Eternalrocks nicht finden. Die neue Version der Malware kann also nicht so einfach deaktiviert werden."
Bleibt die Malware unentdeckt, kann sich diese schnell innerhalb privater Netzwerke und auch über das Internet verbreiten. Dazu verwendet Eternalrocks das SMB File Sharing-Protokoll und infiziert dadurch ungepatchte Systeme, ohne dass die Nutzer dazu betrügerische Links in Phishing-Mails oder ähnliches anklicken müssen. Laut Vectra Networks verhält sich die Malware bislang eher passiv, allerdings sorge diese dafür, dass auf den betroffenen Systemen zusätzliche Einfallstore für weitere Malware und zukünftige Attacken entstehen.

Da sich Eternalrocks nicht sofort wie klassische Malware verhält, täuscht die Schadsoftware einige der klassischen SIEM-Tools (Security Information and Event Management), welche auf der periodischen Analyse von Log-Daten basieren. Und auch Signatur-basierte Malware-Erkennungstools (IDS) übersehen den Eindringling offenbar. Geschützt sind jedoch Nutzer, die auf Sicherheitslösungen setzen, bei denen das Netzwerk in Echtzeit automatisch auf Verhaltensweisen untersucht wird, die auf einen Angreifer schliessen lassen. (swe)
Weitere Artikel zum Thema
 • Von Wannacry verschlüsselte Daten lassen sich entschlüsseln
 • Wannacry-Patch für Windows XP gab's schon vor der Attacke
 • Wannacry-Angriffe noch nicht zu Ende
 • Ransomware Wannacrypt hält Welt in Atem

Vorherige News
 
Nächste News

Neuen Kommentar erfassen

Kommentare werden vor der Freischaltung durch die Redaktion geprüft.
Anti-Spam-Frage Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
Antwort
Name
E-Mail
NEWSLETTER ABONNIEREN
Abonnieren Sie unseren täglichen Newsletter mit den wichtigsten ICT-Meldungen
SWISS IT MAGAZINE - AUSGABE 2017/11
Schwerpunkt: IT-Finanzierung in der Schweiz
• Stolzer Käufer oder cleverer Nutzer? Wirtschaftliche Finanzierungsformen für die IT
• Flexibler Konsum: Die Pay-per-Use-Generation
• Marktübersicht: Angebote für IT-Leasing
• Fallbeispiel: WaaS als alternative Form der IT-Finanzierung
Zum Inhaltsverzeichnis
SPONSOREN & PARTNER