Nur, weil WannaCry aus den Schlagzeilen verschwunden ist, bedeutet das nicht, dass es WannaCry nicht mehr gibt. Davor warnt Vectra, Anbieter für die automatisierte Erkennung laufender Cyberangriffe. Viele Unternehmen, die derzeit Vectra Cognito testen, haben in den vergangenen Wochen WannaCry-Angreifer-Verhaltensweisen identifiziert.
Über WannaCry wurde erstmals im Mai dieses Jahres von den Medien berichtet. Vectra-Kunden hatten damals unmittelbar Angriffsaktivitäten erkannt und konnten innerhalb von wenigen Minuten darauf reagieren. Einige Tage nach den ersten Ereignissen wurde berichtet, dass das Stoppen des Command&Control-Servers die Wirksamkeit der laufenden Attacken von WannaCry einschränken würde. Dies war zwar eine effektive Massnahme, dennoch passieren immer noch Fälle von WannaCry in Unternehmensnetzwerken. Diese Aktivitäten finden in einem kleineren Rahmen als die spektakuläre Angriffswelle im Mai statt. Dennoch ist es wichtig, dass Unternehmen weiterhin ihre Netzwerke auf Vorkommnisse überwachen, die Teil eines sich schnell verbreitenden Ransomware-Angriffs mit grossem Schadenpotenzial sein könnten.
Die gute Neuigkeit ist, dass die von Vectra patentierte, auf künstlicher Intelligenz basierende Software automatisiert Angreiferverhalten erkennt und somit auch die Vorboten WannaCry. Hierzu zählen unter anderem seitliche Bewegung, das Ausforschen von Netzwerkressourcen und Command&Control-Kommunikation. Dies ermöglicht den Sicherheitsteams in den Unternehmen, infizierte Maschinen zu isolieren und wiederherzustellen, bevor der Angriff sich im Unternehmen ausweitet und Schaden verursacht.
Durch das Erkennen von Angreiferverhalten, anstatt nach der Malware zu suchen, die beim Angriff verwendet wird, kann Vectra Cognito Cyberangriffe wie WannaCry ohne Signatur-Updates oder Vorkenntnisse zu einem speziellen Angriff identifizieren. Die Schritte, die ein Angreifer im Netzwerk ausführen muss, um Systeme zu kompromittieren und zu zerstören oder Daten zu stehlen, basieren auf bestimmten typischen Verhaltensweisen, die sich über den gesamten Angriffslebenszyklus erstrecken. Somit hat Vectra Cognito viele Chancen, einen Angriff zu erkennen, bevor er Schaden verursacht.
Bevor beispielsweise Ransomware Dateien verschlüsseln kann, muss der Angreifer Dateifreigaben im Netzwerk finden. Für WannaCry bedeutet dies, nach internen Servern zu suchen, die durch EternalBlue anfällig sind, eine Schwachstelle im Windows-System, die beim Angriff ausgenutzt wird. Diese Suche erfordert eine interne Aufklärung („Reconnaissance“).
Vectra Cognito erkennt dieses Aufklärungsverhalten und korreliert es mit anderen verwandten Verhaltensweisen, die Teil des Ransomware-Angriffs sind. Auf diese Weise kann die Analysesoftware die Hosts lokalisieren, die der Angreifer ins Visier genommen hat. Hosts, die mit Ransomware infiziert sind, stellen ein kritisches Risiko für das Netzwerk dar. Vectra Cognito positioniert sie daher in der höchste Bedrohungs- und Sicherheitsstufe, um die betroffenen Hosts für eine sofortige Reaktion zu priorisieren.