LogPoint stellt angesichts der weltweiten Bedrohung durch WannaCry, die nach der Ransomware benannte Plug & Play WannaCry-Applikation vor. Die Applikation lässt sich nahtlos integrieren und arbeitet mit Geräten wie Firewalls, Security Appliances, File-Share-Anwendungen etc. zusammen.
Sicherheitsforscher von LogPoint beobachten die zukünftige Entwicklung der Malware sehr genau. Tauchen neue Arten und Angriffsmuster auf, werden umgehend Updates eingespielt, um auch die neuesten Varianten schnell aufzuspüren.
Die Applikation stöbert ungewöhnliche Verbindungen zu SMB-Services zwischen den Workstations auf und macht sich dabei die wurmartige Ausbreitung zu Nutze, denn sie sorgt für auffälliges Login-Verhalten im Netzwerk.
Ein Beispiel für dieses Verhalten stellt der Aufbau von Verbindungen zwischen einzelnen Clients und eben nicht der direkte Verbindungsaufbau eines Clients zu einem Server dar. Darüber hinaus zeigt das Tool an, sobald Daten auf einem Client verschlüsselt werden und registriert dies ebenfalls als ungewöhnliches Verhalten.
Die Microsoft-Schwachstelle MS17-010, derer sich WannaCry bedient, wird durch das mit LogPoint interagierende Schwachstellen-Management Tool von Qualys entdeckt. Alle Scans von Qualys fließen in die SIEM-Lösung und lösen dann automatisch Alarme aus.
Verschiedene Varianten der Ransomware versuchen sich darüber hinaus mit einer Domain zu verbinden, die inzwischen von einem Sicherheitsforscher deaktiviert wurde. Dieser Verbindungsaufbau lässt sich leicht nachverfolgen und die WannaCry-Applikation meldet diesen sofort.
„Die Zahlen, die WannaCry in den wenigen Stunden am 12. Mai erzielt hat, lesen sich beeindruckend und zeigen einmal mehr auf, wie schnell selbst große Unternehmen von Schadsoftware befallen werden können. Mit unserem Angebot stellen wir nun diesen Unternehmen eine Plug & Play-Lösung für unsere SIEM-Software bereit, die sofort Abhilfe schafft,“ sagt Pascal Cronauer, Country Manager DACH bei LogPoint.