UPDATE: WannaCry Ransomware

Informationen und Handlungsempfehlungen

  1. Aktualisieren Sie alle Windows Systeme und bringen Sie diese auf den neusten Patch-Level.
    Weitere Informationen finden Sie unter dem Microsoft-Sicherheitsbulletin MS17-010. Weitere Empfehlungen hat Microsoft in diesem Artikel Links zu Updates für nicht mehr unterstützte Betriebssystem Versionen wie Windows XP.
  2. Dort, wo keine Updates zur Verfügung stehen oder installiert werden sollten, blocken Sie den Zugriff auf SMB und deaktivieren Sie soweit möglich SMBv1.
  3. Allen Windows Systemen in Ihrem Netzwerk sollte der Zugriff auf die folgendenden Domains in Ihrer Firewall ermöglicht werden:

Das muss ohne jede Authentisierung erfolgen. Die Domains sind im Zusammenhang mit WannaCry als “Kill Switch Domains” bekannt. Erreicht der Virus diese Domains, so stopt er offenbar die Ausbreitung.

  1. Ihre UTM-Firewall muss auf dem neuesten Stand sein und aktuelle Virenpattern beziehen.
  2. Achten Sie darauf, dass Ihre Virenschutzsoftware (eine hoffentlich NICHT kostenlose Version o.ä.) auf allen Endgeräten installiert und aktuell ist. Das gilt sowohl für Server als auch Clients.
  3. Dabei empfehlen wir wichtige Systeme mindestens zweifach zu sichern – einmal als Snapshotsicherung und einmal die Bewegungsdaten. Achten Sie darauf, dass die Backupziele für den Benutzerlevel nicht zugänglich sind.
  4. Schulen Sie Ihre Mitarbeiter – zunächst sollten Sie Ihre Mitarbeiter über WannaCry informieren und darüber, welche Schutzmaßnahmen durchgeführt wurden. Wichtig ist, dass WannaCry – wie jede Ransomware – Kundennetzwerke typischerweise per E-Mail betreten hat und von einem Anwender ausgeführt wurden. Hier ist ein besonderes Augenmerk auf Schulung/Sensibilisierung von Mitarbeitern zu legen.

Angriffsfläche verkleinern

Eine der grundlegenden Schwachstellen in vielen kleinen und großen Netzen ist eine fehlende Segmentierung. Alleine durch die Aufteilung des Netzwerkes in verschiedene Abschnitte, kombiniert mit einem guten Regelwerk auf Ihrer Firewall, lässt sich die Angriffsfläche massiv verkleinern. So können Netzwerkprobleme und Angriffe eingegrenzt werden.

Beispiel:
Anwender, die auf einem Terminalserver arbeiten, benötigen auf den Remotedesktopserver nur TCP Port 3389 und keine weiteren Zugriffe. WannaCry könnte sich so nie von einem infizierten Endgerät auf den Server ausbreiten, da das entsprechende Protokoll nicht über TCP Port 3389 erreichbar ist.

Sie wollen mehr wissen?
Gerne beraten wir Sie und implementieren bei Ihnen die notwendige Sicherheit.

WIR FREUEN UNS AUF IHREN ANRUF – 04261 966 306