Archive for the ‘WannaCry’ Category

News in brief: WannaCry ‘kill switch’ man detained; Firefox file encryption; DDoS fails to persuade

August 3rd, 2017

Your daily round-up of some of the other stories in the news!

Posted in DDoS, Firefox, news in brief, WannaCry | Comments (0)

Samba exploit – not quite WannaCry for Linux, but patch anyway!

May 26th, 2017

SMB is the Windows networking protocol, so SMB security holes like the one that led to WannaCry can’t happen on Linux/Unix, right? Wrong!

Posted in CVE-2017-7494, Exploit, rce, samba, Vulnerability, WannaCry | Comments (0)

The Windows worm is back – and this time it’s serious

May 15th, 2017

Worms are a malware tactic from back in the day – but they still remain tricky to mitigate against

Posted in sasser, Security threats, vulnerabiity, Wanna Decrypter 2.0, WannaCry, Worm | Comments (0)

The Windows worm is back – and this time it’s serious

May 15th, 2017

Worms are a malware tactic from back in the day – but they still remain tricky to mitigate against

Posted in sasser, Security threats, vulnerabiity, Wanna Decrypter 2.0, WannaCry, Worm | Comments (0)

The Windows worm is back – and this time it’s serious

May 15th, 2017

Worms are a malware tactic from back in the day – but they still remain tricky to mitigate against

Posted in sasser, Security threats, vulnerabiity, Wanna Decrypter 2.0, WannaCry, Worm | Comments (0)

The Windows worm is back – and this time it’s serious

May 15th, 2017

Worms are a malware tactic from back in the day – but they still remain tricky to mitigate against

Posted in sasser, Security threats, vulnerabiity, Wanna Decrypter 2.0, WannaCry, Worm | Comments (0)

The Windows worm is back – and this time it’s serious

May 15th, 2017

Worms are a malware tactic from back in the day – but they still remain tricky to mitigate against

Posted in sasser, Security threats, vulnerabiity, Wanna Decrypter 2.0, WannaCry, Worm | Comments (0)

WannaCry – über alte und neue Würmer

May 12th, 2017

Am Morgen des 12. Mai, einem Freitag, meldeten mehrere Quellen in Spanien den Ausbruch einer Ransomware-Variante, die inzwischen als „WannaCry“ identifiziert wurde.

Sofort nach dem Eingang dieser Informationen begann McAfee, die Ransomware-Exemplare zu analysieren, Hinweise zur Beseitigung auszuarbeiten und Erkennungs-Updates für unsere Kunden zu entwickeln.

Am Freitagnachmittag war das McAfee Global Threat Intelligence-System bereits aktualisiert und in der Lage, alle bekannten WannaCry-Varianten zu erkennen. Zudem hatten alle Kunden entsprechende DAT-Signaturaktualisierungen erhalten.

McAfee bittet dringend alle seine Kunden, diese DAT-Updates durchzuführen und zusätzlich sicherzustellen, dass auch für alle anderen Software-Lösungen alle verfügbaren Sicherheits-Updates installiert sind. Weitere Informationen finden Sie in diesem Artikel der Wissensdatenbank.

Bei den in dieser Woche beobachteten Angriffen mit der WannaCry-Ransomware wurden erstmals Wurm- und Ransomware-Taktiken kombiniert. Der mögliche Missbrauch des Eternal Blue-Exploits war seit einigen Wochen bekannt. Da der Patch für die Schwachstelle MS-17-010 des Windows-Betriebssystems auf Tausenden Systemen nicht implementiert war, konnte WannaCry innerhalb eines Tages Hunderttausende Computer in allen Branchen auf der ganzen Welt infizieren. Ebenso wie bei vielen anderen Ransomware-Kampagnen waren diese Angriffe auch dadurch so erfolgreich, weil keine oder nur eine geringe Benutzerbeteiligung erforderlich war.

Eine Mischung aus Bewährtem – und der Mensch bleibt außen vor

Der Erfolg von WannaCry lässt sich darauf zurückführen, dass ein Angriff durch die Schwachstellen, die auf vielen Systemen im Netzwerk bestehen, verstärkt werden konnte. Die Folgen des Angriffs waren daher erheblich größer als bei herkömmlichen Ransomware-Angriffen.

Fast alle Ransomware-Varianten, die derzeit im Umlauf sind, greifen einzelne Benutzer an, häufig per Spearphishing: Die Opfer erhalten eine E-Mail, die von einem scheinbar legitimen Absender kommt und den Empfänger dazu verleitet, auf einen Link zu klicken oder einen Anhang zu öffnen, der Schadcode herunterlädt bzw. auf dem System des Opfers ausführt. Dabei ist aber stets nur ein Computer des Opfers betroffen.

Erinnern Sie sich an die späten 1990er und frühen 2000er? Damals verbreiteten sich Würmer wie Code Red, NIMDA und SQL Slammer, die die Malware ohne Benutzerbeteiligung auf dem System aktivieren konnten, rasend schnell. Die WannaCry-Angriffe gingen sehr ähnlich vor.

Wir versuchen immer noch zu ermitteln, wie das „Patient Null“-System infiziert werden konnte. In jedem Fall konnte sich diese Erstinfektion auf alle Systeme im Netzwerk ausbreiten, auf denen der Patch für die Schwachstelle MS-17-010 nicht installiert war.

Die Malware hatte dabei gar nicht das Ziel, Daten zu stehlen oder andere Systeme zu beschädigen, sondern führte einen klassischen Ransomware-Angriff durch – mit verschlüsselten Dateien und einer Lösegeldforderung. Bei diesem Angriff wurden im Grunde zwei Techniken kombiniert, um eine besonders große Wirkung zu erzielen.

Das WannaCry-Problem: Wenn auf Unternehmenssystemen die Microsoft-Schwachstelle bestand, konnte sich die Ransomware nach der Infektion eines Systems sehr schnell ausbreiten und viele weitere Systeme, die ebenfalls noch nicht durch den von Microsoft im März bereitgestellten Patch geschützt waren, befallen.

Typischerweise beobachten wir, dass Cyber-Kriminelle gern Techniken kopieren, die sich bereits als effektiv erwiesen haben. Da der WannaCry-Angriff offensichtlich äußerst effektiv war, müssen wir damit rechnen, dass weitere Angreifer nach anderen Gelegenheiten suchen. Dies wird dadurch erschwert, dass dazu eine Software-Schwachstelle nötig ist, die Wurmverhalten ermöglicht.

Das Besondere an diesem Angriff ist die Tatsache, dass Microsoft bereits einen Patch für diese kritische Schwachstelle veröffentlicht hatte und ein aktives Exploit in den Umlauf gelangte. Beide Faktoren boten den Angreifern Gelegenheit und Vorlage, mit der sie eine Ransomware mit Wurmfunktionen erstellen konnten.

Offen für die Ausnutzung

In den späten 1990er Jahren wurde typischerweise verschiedenste Software auf Systemen ausgeführt, die teilweise nicht genutzt wurde. So nutzte zum Beispiel ein Wurm in den 1990er Jahren eine Schwachstelle in einem Druck-Server aus, der standardmäßig in allen Servern enthalten war – auch in Systemen ohne angeschlossenen Drucker. Auf diese Weise konnte sich der Wurm auf allen Servern im Netzwerk über diesen Drucker-Port verbinden und ein System nach dem anderen infizieren.

Diese Taktik wird seither typischerweise durch das Prinzip der minimalen Gewährung von Berechtigungen ausgehebelt. Dabei wird sichergestellt, dass eine Anwendung bzw. ein Dienst nur die Aktionen auf dem System oder im Netzwerk ausführen darf, die für die jeweiligen Aufgaben oder Funktionen erforderlich sind. Durch dieses Prinzip konnten die Erfolgschancen herkömmlicher Würmer reduziert werden, doch ungepatchte Schwachstellen imitieren dieses „offene“ Element, sodass es ausgenutzt werden kann. Das gilt ganz besonders für Schwachstellen, die Dateiübertragungen oder -freigaben für andere Systeme ermöglichen.

Die Koordination von Kampagnen wie WannaCry wird durch all die ungepatchten Schwachstellen, das veröffentlichte Exploit sowie die zahlreichen bewährten Ransomware-Technologien und -Taktiken, die Angreifern zur Verfügung stehen, deutlich vereinfacht.

Patchen oder nicht Patchen?

WannaCry sollte IT-Verantwortliche an die Dringlichkeit schneller Patch-Bereitstellungen erinnern. Einer der Gründe für das Zögern von IT-Verantwortlichen beim Patchen oder Durchführen interner Qualitätsprüfungen ist die Frage, ob Probleme durch Software-Inkompatibilitäten auftreten. Meiner Meinung nach sollte die Frage anders formuliert werden: Wenn ein Patch veröffentlicht wird, besteht immer ein Risiko durch das Anwenden des Patches und eines durch das Nichtanwenden. IT-Verantwortliche müssen die jeweiligen Folgen für ihr Unternehmen verstehen und einschätzen können.

Durch die Verzögerung einer Patch-Bereitstellung können sie das Risiko einer Anwendungsinkompatibilität minimieren. Gleichzeitig erhöhen sie jedoch das Risiko einer Kompromittierung durch eine Bedrohung, die genau diese Schwachstelle ausnutzt. IT-Verantwortliche müssen für jeden Patch verstehen, wie hoch und schwerwiegend diese Risiken sind und dann entscheiden, wie sie das Risiko für das Unternehmen minimieren können.

Ereignisse wie WannaCry haben das Potenzial, diese Denkweise zu ändern. Eines der Probleme, die wir in Bezug auf die Sicherheit häufig beobachten, ist der Glaube, dass nicht erfolgte Angriffe mit einer funktionierenden Abwehr gleichzusetzen sind. Unternehmen, die heute eher entspannt an die Anwendung von Patches herangehen, haben vielleicht einfach noch keine Angriffe erlebt, die genau diese Schwachstellen ausnutzen. Das könnte die Einstellung verstärken, dass das Aufschieben von Patch-Bereitstellungen in Ordnung ist.

Dieser Vorfall sollte jedoch Unternehmen daran erinnern, dass sie einen strikten Patch-Bereitstellungsplan benötigen, um die Schwachstellen in ihrer Umgebung zu reduzieren.

Warum wurden Krankenhäuser angegriffen?

Krankenhäuser fallen in eine Kategorie, die ich als „weiche Ziele“ bezeichne, d. h. sie konzentrieren sich meist in erster Linie auf die Patientenfürsorge und weniger auf bestmögliche Mitarbeiter für Cyber-Abwehr sowie bestmögliche Technologien zum Schutz vor Cyber-Angriffen.

Das liegt daran, dass Angriffe auf Krankenhäuser für Cyber-Kriminelle in der Vergangenheit als wenig reizvoll galten. Sie konnten vielleicht Patientenakten oder andere Daten stehlen, doch der Gesamtwert der Daten in einem Krankenhaus liegt normalerweise unter dem Wert der massenhaft bei anderen Branchen (z. B. Finanzdienstleistern) gestohlenen Daten.

Ransomware hat dafür gesorgt, dass es sich für Kriminelle lohnt, beliebige Unternehmen anzugreifen. Da es den Kriminellen ausschließlich um die Lösegeldforderung geht, ist es erheblich einfacher, ein Unternehmen mit schwacher Cyber-Abwehr als eines mit starken Schutzmaßnahmen anzugreifen. Deshalb wurden im vergangenen Jahr Krankenhäuser, Schulen, städtische Polizeibehörden und Universitäten Opfer von Ransomware-Angriffen. Während wir derzeit auch einige Angriffe auf „härtere Ziele“ beobachten, bieten sich Kriminellen zahlreiche Gelegenheiten, ihre Attacken auf diese weichen Ziele fortzusetzen.

Wie geht es weiter?

Obwohl dieser Angriff neu ist und einige Überlegungen auslösen sollte, dürfen wir Folgendes nicht vergessen: Wenn bekanntermaßen eine Schwachstelle im Umlauf ist und ein Exploit veröffentlicht wurde, das von Cyber-Kriminellen ausgenutzt werden könnte, müssen wir immer mit derartigen Angriffen rechnen und darauf vorbereitet sein, dass schon bald zahlreiche Nachahmerangriffe folgen werden.

The post WannaCry – über alte und neue Würmer appeared first on McAfee Blogs.

Posted in German, Neutralize Threats, WannaCry | Comments (0)

WannaCry : les vers d’hier font peau neuve

May 12th, 2017

Le vendredi 12 mai en matinée, de nombreuses sources en Espagne ont été les premières à signaler l’apparition d’une vague d’attaques informatiques menées à l’aide du ransomware désormais identifié sous le nom de WannaCry.

Dès que McAfee a été informé de ces incidents, notre équipe s’est immédiatement attelée à analyser des échantillons de ce logiciel de demande de rançon. Nous avons mis au point des mises à jour pour sa détection ainsi que des conseils de prévention à l’intention de nos clients.

Le vendredi après-midi, le système de cyberveille McAfee Global Threat Intelligence a été actualisé pour permettre l’identification de tous les échantillons connus de WannaCry. En outre, nous avons fourni à tous nos clients des mises à jour de signatures (fichiers DAT).

Nous leur conseillons vivement non seulement de s’assurer que ces mises à jour DAT ont été appliquées, mais aussi de veiller au déploiement des mises à jour de sécurité requises pour toutes les solutions logicielles qu’ils utilisent. Pour plus d’informations, veuillez consulter cet article du Knowledge Center.

L’offensive menée à l’aide de WannaCry est inédite : c’était la première fois que l’on observait un mode opératoire combinant des tactiques typiques des vers avec le modèle économique des ransomwares. La conversion en outil d’attaque de l’exploit Eternal Blue, rendu public il y a plusieurs semaines, et la mise à profit de milliers de failles de systèmes d’exploitation Windows encore présentes malgré la publication du correctif MS-17-010 ont permis à WannaCry d’infecter des centaines de milliers d’ordinateurs. Tous les secteurs d’activité et la planète entière ont été frappés, en un jour à peine. De plus, ces attaques n’ont pas nécessité d’intervention humaine, ou très peu, comme c’est généralement le cas dans les campagnes de propagation de ransomware.

Un croisement entre méthodes éprouvées, sans le facteur humain

La réussite de WannaCry est due à sa capacité à amplifier chaque attaque grâce à l’exploitation des vulnérabilités de nombreuses machines connectées au réseau. L’impact est donc nettement plus important que celui des campagnes de diffusion de ransomware classiques observées jusqu’ici.

Pratiquement tous les logiciels de demande de rançon qui sévissent à l’heure actuelle visent des utilisateurs particuliers, souvent par des techniques de harponnage (spear phishing). Ainsi, les cibles reçoivent généralement un e-mail qui semble émaner d’un expéditeur légitime et les incite à cliquer sur un lien ou à ouvrir une pièce jointe entraînant le téléchargement ou l’exécution de code malveillant sur le système du destinataire. Ce type d’attaque n’affecte cependant que l’ordinateur de la victime.

Dans les années 1990 et au début des années 2000, à l’époque de Code Red, NIMDA et SQL Slammer, ces vers se propageaient rapidement parce qu’ils n’avaient pas besoin du concours de l’être humain pour activer le logiciel malveillant sur les ordinateurs. Les attaques qui ont fait rage à la mi-mai ont eu un comportement similaire.

Nous essayons toujours de déterminer comment une machine « patient zéro » a pu être infectée, mais nous savons qu’à partir de cette première infection, d’autres systèmes dépourvus du correctif MS-17-010 étaient contaminés via leur réseau.

Plutôt que de voler des données ou d’endommager d’autres machines, le logiciel malveillant a exécuté une attaque par ransomware classique, en chiffrant des fichiers et en exigeant une rançon. Deux techniques ont été associées pour produire un impact maximal.

Dans le cas où les systèmes de l’entreprise présentaient la vulnérabilité en question (pour laquelle Microsoft avait publié une mise à jour de sécurité en mars), le ransomware WannaCry pouvait infecter un premier ordinateur, puis se propager très rapidement et toucher de nombreuses autres machines dépourvues du correctif ad hoc.

En matière de cybercrime, nous savons que lorsqu’une technique se révèle efficace, elle est presque systématiquement copiée. Vu la réussite impressionnante de cette cyberattaque, on peut raisonnablement penser qu’elle inspirera d’autres pirates. Elle sera cependant difficile à reproduire car ce type d’approche nécessite la présence d’une vulnérabilité logicielle dont les caractéristiques permettent l’expression d’un comportement similaire à celui d’un ver informatique.

L’attaque WannaCry est unique en cela qu’elle a tiré parti à la fois d’une vulnérabilité critique pour laquelle Microsoft avait déjà publié un correctif et d’un exploit actif qui s’est retrouvé sur Internet, accessible à quiconque : ces deux facteurs ont offert à son auteur l’opportunité et le modèle de fonctionnement lui permettant de créer ce ver de demande de rançon très particulier.

Une brèche ouverte aux exploits

À la fin des années 1990, il était courant de laisser s’exécuter toutes sortes de logiciels sur des ordinateurs qui pourtant n’étaient pas en cours d’utilisation. Ainsi, un des vers actifs à cette époque tirait parti d’une vulnérabilité d’un logiciel de serveur d’impression qui était inclus par défaut sur tous les serveurs, même si la configuration ne comptait en réalité aucune imprimante. Tous les serveurs du réseau étaient donc exposés au risque qu’un ver se connecte à leur port d’imprimante, créant ainsi un scénario de propagation où le ver pouvait infecter un système après l’autre.

Pour contrer ce type d’attaque, une bonne pratique appelée « principe du moindre privilège » a été adoptée. Selon celle-ci, une application ou un service exécute sur une machine ou un réseau uniquement les éléments strictement nécessaires à l’accomplissement des tâches ou fonctions propres à son rôle particulier. L’application de ce principe a limité les risques d’attaques par des vers traditionnels, mais les vulnérabilités non corrigées laissent elles aussi une porte ouverte par laquelle les exploits peuvent s’engouffrer — particulièrement lorsqu’elles permettent des transferts de fichiers, des partages entre systèmes, etc.

Il serait très compliqué d’orchestrer des attaques telles que la campagne WannaCry sans la présence de vulnérabilités non corrigées, sans un exploit rendu public et sans disposer d’une série de technologies et tactiques de ransomware à l’efficacité éprouvée.

Corriger ou ne pas corriger, telle est la question

WannaCry doit rappeler aux équipes informatiques combien il est essentiel d’appliquer rapidement les patchs requis. L’une des raisons pour lesquelles elles hésitent à corriger leurs systèmes ou à exécuter un contrôle qualité interne est qu’elles veulent s’assurer de l’absence de problèmes de compatibilité logicielle. J’envisage la question sous un angle différent : lorsqu’un correctif est disponible, tant son application que sa non-application comportent un certain risque. L’un des rôles du responsable informatique consiste à peser ces risques respectifs et à évaluer ce qu’ils représentent pour leur entreprise.

Dans certains cas, retarder le déploiement d’un patch limite les risques d’incompatibilité. Dans d’autres, cela augmente le risque de compromission par une menace qui exploiterait une vulnérabilité existante. Pour chaque patch, l’équipe informatique doit déterminer le niveau de risque associé à chaque cas de figure et ensuite prendre la bonne décision, celle qui mettra le moins possible l’entreprise en péril.

Des incidents majeurs tels que WannaCry vont probablement peser dans la balance lors de cette analyse. Il arrive souvent que les équipes de sécurité interprètent l’absence d’attaques comme une preuve de l’efficacité de leurs défenses. Or, il n’en est rien. Il est tout à fait possible que des entreprises négligentes dans l’application de patchs n’aient pas subi d’attaques exploitant les vulnérabilités concernées. Cela peut renforcer l’idée qu’un déploiement différé n’est pas problématique.

Or, cette attaque massive du mois de mai doit rappeler aux entreprises qu’elles doivent absolument adopter une stratégie rigoureuse de correction des vulnérabilités dans leur environnement.

Pourquoi les hôpitaux ?

Les hôpitaux sont des cibles vulnérables, car leur première préoccupation est bien évidemment les soins aux patients, et pas le déploiement des meilleures technologies de cyberdéfense ou le recrutement de personnel qualifié en cybersécurité.

De fait, jusqu’à présent, les cybercriminels avaient très peu à gagner avec ces établissements. Il était toujours possible de voler les dossiers médicaux ou d’autres types de données, mais en termes de valeur totale, les données provenant d’un hôpital étaient généralement moins attrayantes que celles subtilisées à des entreprises de secteurs comme les services financiers.

Avec le modèle économique criminel des ransomwares, tous les secteurs d’activité deviennent des cibles potentiellement intéressantes. Puisque l’objectif du cyberpirate est la rançon, il est plus aisé de s’en prendre à une structure aux cyberdéfenses faibles plutôt qu’à une entreprise dotée d’un dispositif de protection performant. Voilà pourquoi des hôpitaux, des bureaux de police, des établissements d’enseignement et des universités ont été frappés par des ransomwares l’année dernière. Nous commençons à observer également un intérêt accru pour des entreprises moins vulnérables, mais pour l’instant du moins, les pirates disposent encore de nombreuses opportunités de cibler ces proies plus faciles.

Et demain ?

Même si l’attaque WannaCry présente des caractéristiques inédites, dont il faudra tenir compte à l’avenir, lorsqu’une vulnérabilité est signalée publiquement et qu’un exploit est diffusé au risque d’être utilisé par des cybercriminels, nous devons nous attendre à une attaque de ce genre et nous y préparer. Et, très vite, à de nombreuses autres qui s’en seront inspirées.

 

The post WannaCry : les vers d’hier font peau neuve appeared first on McAfee Blogs.

Posted in Eternal Blue, Executive Perspectives, Français, McAfee Labs, MS-17-010, Neutralize Threats, ransomware, shadow brokers, Vulnerability, WannaCry, Worm | Comments (0)