23 Mai 2017

Ein neuer Angriff der „WannaCry“-Hacker mit der Malware „EternalRocks“ hat stattgefunden. Die neue Schadsoftware greift vor allem Nutzer an, die den „WannaCry“-Patch noch nicht eingespielt haben. Einen sogenannten „Kill Switch“, der die Malware stoppt, gibt es diesmal leider nicht.

Nach wie vor ist nicht eindeutig geklärt, wer hinter der weltweiten Ransomware-Attacke „WannaCry“ steckt – und schon haben die Hacker nun wieder nachgelegt. Von Vectra Networks wurde die Entdeckung der neuen Malware „EternalRocks“ gemeldet. Anscheinend stammt diese aus dem Umfeld der „WannaCry“-Erpresser. „EternalRocks“ gilt als noch raffinierter und hinterhältiger als „WannaCry“, spricht aber die gleiche Zielgruppe an. Die Malware nutzt mehrere NSA-Exploits der Shadowbreaker-Familie und versucht vor allem die Nutzer anzugreifen, die den „WannaCry“-Patch noch nicht eingespielt haben. Im Gegensatz zu „WannaCry“ gibt es bei „EternalRocks“ allerdings keinen Ausschalter (Kill Switch), durch den die Malware gestoppt werden kann. 

Warnung vor Malware „EternalRocks“, die 7 NSA-Hacking-Tools nutzt

Gérard Bauer, Vice President EMEA bei Vectra Networks geht näher auf EternalRocks ein:

„Es ist wichtig zu wissen, dass der Domain-Name, der als sogenannter „Kill Switch“ für WannaCry fungiert haben soll, möglicherweise gar kein Kill Switch war, sondern vielmehr eine Technik, um Sandboxing-Malwaretests auszutricksen. Dadurch, dass die von WannaCry gesuchte Domain aktiviert wurde, erhielt die Ransomware die Information, dass sie in einer Sandbox ausgeführt wird. Um nicht analysiert werden zu können, hat sich die Ransomware dann umgehend selbst deaktiviert. Der vermeintliche Kill Switch bzw. die Anti-Sandbox-Funktion konnten wir in EternalRocks nicht finden. Die neue Version der Malware kann also nicht so einfach deaktiviert werden.

Gerard Bauer äußert sich umfassend zur neuen Malware EternalRocks. (Quelle: Vectra Networks)

Wenn der Eindringling unentdeckt bleibt, dann kann EternalRocks sich rasch innerhalb privater Netzwerke und auch über das Internet verbreiten. Der Wurm verwendet das SMB File Sharing-Protokoll und infiziert schnell ungepatchte Systeme, ohne dass die Nutzer dazu extra betrügerische Links in Phishing-Mails oder ähnliches anklicken müssen. Uns macht vor allem Sorgen, dass sich die Malware im Vergleich zu WannaCry bisher eher passiv verhält. Es wurde bislang keine Verbindung zum Herunterladen von Schadcode hergestellt. Allerdings sorgt der Wurm dafür, dass auf den betroffenen Systemen zusätzliche Einfallstore für weitere Malware und zukünftige Attacken entstehen. Aktuell mag die Malware sich zwar weitestgehend ruhig verhalten, aber ich gehe davon aus, dass der wahre Umfang des Schadens erst später sichtbar wird.

Da EternalRocks nicht sofort wie klassische Malware agiert, täuscht der Wurm einige der klassischen SIEM-Tools (Security Information and Event Management), die auf periodischer Analyse der Log-Daten basieren. Auch Signatur-basierte Malware-Erkennungstools (IDS) übersehen den Eindringling. Sehr gut geschützt sind aktuell jedoch Nutzer, die auf Sicherheitslösungen setzten, bei denen das Netzwerk in Echtzeit automatisch auf Verhaltensweisen untersucht wird, die auf einen Angreifer schließen lassen. Sie haben viele Möglichkeiten, EternalRocks sowohl bereits wären dessen Installation sowie im frühen Stadium seiner Aktivitäten zu enttarnen.“

 

 

 

Dieser Artikel basiert in Teilen auf einer Pressemitteilung von Vectra Networks,
Mai 2017.

Quelle Titelbild: iStock / mattjeacock