Eigentlich wollte ich zu BadRabbit nichts schreiben, auch weil ich mir bei dem Thema Ransomware immer an den Kopf fassen muss. Und in diesem Fall ist es besonders schlimm.
Aber von vorne. Ransomware bezeichnet Software, die in irgendeiner gearteten Weise die Benutzer eines Computers erpresst. Die Bandbreite dabei reicht von Schrecken verbreiten (etwas schlimmes wird passieren), über Daten veröffentlichen (Urlaubsbilder, Dokumente) bis zum vollständigen Verschlüsseln des Systems. Bei allen Varianten geht es aber immer darum von den Benutzern ein Lösegeld (engl. ransom) zu erhalten.
BadRabbit gehört zu den verschlüsselnden Schadprogrammen, verschlüsselt aber nicht das gesamte System, sondern nur ausgewählte Dateien und verlangt einen vergleichsweise niedrigen Preis, um den Entschlüsselungscode zu erhalten. Betroffen sind bisher hauptsächlich Systeme in Russland und osteuropäischem Raum, wie die Nachrichtenagentur Interfax und die Kiever Metro.
Das besondere an BadRabbit ist der Verbreitungsweg (und weshalb ich mir schon mehrfach an den Kopf fassen musste). Ransomware braucht immer einen Träger, einen Weg, um auf einen Computer zu gelangen. Das geht über Sicherheitslücken oder über die Anwender selber. BadRabbit nutzt einen Watering-Hole-Angriff (dt. Wasserloch), der teilweise in die Kategorie Social-Engineering fällt. Es wurden dafür gezielt Websites gehackt, die der angepeilte Nutzerkreis regelmäßig besucht, um dort einen Installer für den Flash Player zum automatischen Download zu platzieren.
Damit BadRabbit also überhaupt aktiv werden kann, müssen Nutzer ein Programm runterladen, es ausführen und auch noch Administratoren-Rechte haben. Und dann der Flash-Player. Wir haben 2017. Das Ding war schon 2005 voller Sicherheitslücken und ist spätestens seit der Einführung von HTML5 obsolet. Jedenfalls wird nach der Installation angefangen Dateien zu verschlüsseln, auch auf Netzlaufwerken. Besonders diese Tatsache richtet in Unternehmen immer wieder großen Schaden an, weil anscheinend genau darauf niemand vorbereitet ist.
Zeit für einen Rant
Ich stelle mir gerade bei diesem Verbreitungsweg immer die Frage, was da für Administratoren am Werk sind? Warum haben normale, ungeschulte Anwender Administratoren-Rechte? Oder haben die Admins da etwa selber draufgeklickt? Warum ist 2017 noch der Flash-Player installiert oder wird überhaupt in Betracht gezogen, dass der installiert werden müsste?
Was mich am meisten verwundert und gleichzeitig stört ist, dass selbst große Unternehmen einfach nicht lernen wollen. Es reicht nicht, dass bei Milka eine Woche lang die Maschinen wegen sowas stillstehen oder Maersk mal ein paar Häfen ausfallen, damit einige mal aufwachen. Bei Milka werden ja nur etwa 3,5 Mio Tafeln Schokolade am Tag produziert und Maersk rechnet mit einem Schaden von 300 Millionen USD. Anscheinend sind die Taschen einiger noch viel zu tief, als dass sie mal Geld in die Hand nehmen und sich Gedanken um ihre IT-Sicherheit machen. Und nein, Zertifikate sind keine Sicherheit, die sind nur das Gefühl irgendwas getan zu haben.
Ich gebe zu, dass gerade bei (Not)Petya der Verbreitungsweg ein anderer war. Für NotPetya wurde der Hersteller einer Buchhaltungssoftware gehackt und die Ransomware über die Updatefunktion verbreitet. Das ist ein durchaus professionell durchgeführter Hack. Aber damit ist das Programm erstmal nur auf wenigen Rechnern, wie kommt es da bitte auf Produktions- und Steuerungscomputer? Nun, die Antwort ist einfach: Es werden Sicherheitslücken benutzt, die sich über das Netzwerk ausnutzen lassen. Viele der Produktionsmaschinen laufen auf einem uralten Windows XP und werden nicht oder nur selten aktualisiert. Petya und NotPetya nutzen beide jeweils solche, bekannte(!) Lücken aus.
Schadensmindung
Und damit kommen wir auch schon zum letzten Punkt: Wie lässt sich sowas verhindern? Also erstes sind immer die Herstellerupdates einzuspielen und es muss sich aktiv um das Thema Sicherheitslücken gekümmert werden.
Dann gehören Produktionssysteme nicht ins gleiche Netz, wie normale Anwenderrechner. Vor allem Steuerungscomputer sind oft Black Boxes, zu denen nur der Hersteller der Maschine Zugang haben. Diese gehören vom Rest des eigenen Netztes abgekoppelt.
Die Anwender müssen geschult werden, dass sie nicht auf irgendwelche Links im Internet klicken. Besser einmal zuviel die Administratoren genervt, als alle Daten weg.
Dann muss sich für einen solchen Fall vorbereitet werden. Am Besten durch weitflächige Automation. Gerade große Unternehmen haben hunderte Computer mit der gleichen Konfiguration im Einsatz. Diese können automatisiert neuinstalliert werden. Daten gehören dabei immer nur auf Servern gespeichert, die ein regelmäßiges (echtes, dazu irgendwann in einem anderen Artikel) Backup erhalten. Es gibt so schöne moderne Verfahren, um stündlich Snapshots zu machen und diese wegzuspeichern. Die müssen ja nicht mal lange aufbewahrt werden. Aber durch solch ein System kann im Schadensfall durch wenige Mausklicks das gesamte Unternehmen neuinstalliert werden. Vor der Inbetriebnahme sollte dann aber noch geprüft werden, dass wirklich alle befallenen Rechner wirklich sauber sind und man nicht zigmal die Neuinstallation starten darf.
Außerdem gehören Hersteller von Industriemaschinen geschlagen, wenn sie Windows darauf installieren. Das eignet sich einfach nicht für Systeme, die 25 Jahren und mehr im Einsatz sind. Da braucht es eine langfristige Update-Strategie und regelmäßige Updates und das ist bei Microsoft einfach nicht gegeben. Und für 300 Millionen USD dürfte man ein Unternehmen kaufen oder selber hochziehen können, die sowas für einen machen.
Linksammlung: