Die sich schnell ausbreitende GoldenEye Ransomware macht deutlich, wie wichtig es ist, blinde Flecken im Netzwerk zu beseitigen
Eine Welle von Ransomware schwappte am Dienstag in rasantem Tempo über Europa und brachte den Geschäftsbetrieb von Banken, Flughäfen, Pharmaunternehmen, Behörden, Dienstleistern, Versorgungsunternehmen und anderen zum Erliegen, wie Sicherheitsforscher berichten.
Dieser Angriff mit dem Namen GoldenEye, eine neue Variante der Petrwrap/Petya-Ransomware, umgeht herkömmliche Sicherheitsvorkehrungen - laut The Hacker News wird er nur von 13 von 61 Antiviren-Diensten erfolgreich erkannt - und lädt Malware auf die Windows-Rechner der Opfer, um Dateien als Lösegeld zu fordern, wenn die Angreifer nicht 300 US-Dollar in Bitcoin zahlen.
Obwohl der ursprüngliche Infektionsvektor der Ransomware derzeit unbekannt ist, sagen die Forscher, dass sie die EternalBlue-Schwachstelle nutzt, um sich über das SMB-Protokoll von Microsoft Windows von einem Computer zum anderen zu verbreiten.
Forscher sagten, dass diese neue Ransomware in vielerlei Hinsicht WannaCry ähnelt, das im Mai mehr als 200.000 Rechner in mehr als 150 Ländern umgarnte, um Dateien für Lösegeld zu halten, und sich ebenfalls über die EternalBlue-Schwachstelle verbreitete.
Ein auffälliger Unterschied zwischen WannaCry und GoldenEye ist die Art und Weise, wie die beiden Ransomware-Angriffe die Verschlüsselung nutzen.
WannaCry verschlüsselte die infizierten Dateien, während GoldenEye zwei verschiedene Verschlüsselungsebenen aufweist: eine, die die Dateien verschlüsselt, und eine weitere, die das gesamte Dateisystem eines infizierten Computers verschlüsselt.
"Genau wie Petya ist er besonders gefährlich, weil er nicht nur Dateien, sondern auch die Festplatte verschlüsselt", sagt Bogdan Botezatu, Senior Threat Analyst bei Bitdefender, gegenüber CNET.
Einem Tweet eines Kaspersky-Lab-Forschers ist zu entnehmen, dass Kaspersky am 18. Juni eine Probe der Malware wiedergefunden hat, was darauf hindeutet, dass die Malware seit mehr als einer Woche im Umlauf ist und Rechner infiziert.
Das sich schnell verbreitende Petrwrap/Petya-Ransomware-Sample, das uns vorliegt, wurde laut PE-Zeitstempel am 18. Juni 2017 erstellt. pic.twitter.com/CHUYvsiQ08
- Costin Raiu (@craiu) 27. Juni 2017
Wissen, was sich in Ihrem Netzwerk befindet
Während sich GoldenEye am Dienstagmorgen und -nachmittag schnell in ganz Europa ausbreitete, arbeiteten die Forscher daran, den ursprünglichen Infektionsvektor aufzudecken und die Quelle zu bestimmen.
Die Quelle der Infektion ist zwar noch unklar, aber die Tatsache, dass sie mehr als eine Woche lang unbemerkt blieb, macht deutlich, wie wichtig es ist, zu wissen, welche Art von Datenverkehr in Ihrem Netzwerk stattfindet.
Ransomware wird manchmal über verschlüsselte E-Mail-Nachrichten verbreitet, die Word- und Excel-Dateien als Anhänge enthalten. Dies unterstreicht die Notwendigkeit, Webmail und andere sichere E-Mail-Protokolle zu entschlüsseln und zu überprüfen, um sicherzustellen, dass die Anhänge keine Ransomware enthalten.
Es ist auch möglich, dass GoldenEye Rechner über verschlüsselten Datenverkehr infiziert hat und unentdeckt geblieben ist.
Nach Angaben der Kunden von A10 Networks sind rund 75 Prozent ihres Datenverkehrs verschlüsselt.
Auf dem Gartner Security and Risk Management Summit Anfang dieses Monats erklärten die Analysten von Gartner jedoch, dass bis 2020 mehr als 60 Prozent der Unternehmen den Datenverkehr nicht ordnungsgemäß entschlüsseln und die meisten gezielten Web-Malware-Programme nicht erkennen werden.
Verschlüsselter Datenverkehr ist zum größten blinden Fleck im Netzwerk geworden, und Unternehmen benötigen Lösungen, die verschlüsselten Datenverkehr knacken und untersuchen, um potenzielle Malware zu entdecken, bevor es zu spät ist.
Wenn Sie den verschlüsselten Datenverkehr nicht in Echtzeit entschlüsseln, damit Ihr Sicherheits-Stack ihn analysieren kann, könnten Sie Ransomware oder andere Malware in Ihr Netzwerk einladen.
A10 Thunder SSLi ist eine vollständige Proxy-Lösung, die in Echtzeit Einblick in den verschlüsselten Datenverkehr bietet, um potenzielle Bedrohungen zu stoppen, bevor sie Schaden anrichten. Thunder SSLi entschlüsselt den Datenverkehr über alle TCP-Ports und ermöglicht es dann Sicherheitsgeräten von Drittanbietern, den gesamten Datenverkehr zu analysieren, ohne die Leistung zu beeinträchtigen. Dies gibt Sicherheitsgeräten nicht nur die Möglichkeit, jede bösartige Datei zu untersuchen und zu melden, sondern auch, falls erforderlich, den Datenverkehr in Echtzeit zu blockieren und den Kommunikationskanal zurückzusetzen. Thunder Anschließend verschlüsselt SSLi den Datenverkehr erneut und sendet ihn an das vorgesehene Ziel. Dadurch wird der blinde Fleck, der durch verschlüsselten Datenverkehr entsteht, beseitigt.
Mehr über A10 Thunder SSLi finden Sie in diesem Datenblatt.
Sehen ist Glauben.
Vereinbaren Sie noch heute eine Live-Demo.