Die Cyber-Bedrohungslandschaft entwickelt sich rasant weiter. Was 2017 mit WannaCry begann und durch EternalRocks verschärft wurde, hat sich heute zu einem komplexen Ökosystem aus raffinierten SMB-basierten Angriffen entwickelt, die moderne Unternehmen und Privatnutzer gleichermaßen bedrohen.
Ursprünglich entdeckten kroatische Sicherheitsforscher EternalRocks als direkten Nachfolger von WannaCry. Die Malware nutzte gleich sieben NSA-Exploits statt nur zwei bei WannaCry und war damit deutlich gefährlicher. Während WannaCry durch einen simplen Kill-Switch gestoppt werden konnte, war EternalRocks robuster und wartungsfähiger konzipiert.
Die Evolution der SMB-Bedrohungen 2024-2026
Heute sehen wir eine neue Generation von SMB-Exploits, die von den ursprünglichen NSA-Tools abstammen, aber deutlich sophistizierter sind. Aktuelle Varianten nutzen KI-gestützte Erkennungsvermeidung und können sich dynamisch an Sicherheitsmaßnahmen anpassen. Die modernen Nachfolger von EternalRocks verwenden polymorphe Verschlüsselung, wodurch sie für traditionelle Signaturen-basierte Antivirensoftware praktisch unsichtbar werden.
Besonders besorgniserregend ist der Trend zu „Living-off-the-Land“-Techniken. Statt eigene Exploits mitzubringen, nutzen aktuelle SMB-Würmer bereits vorhandene Systemtools wie PowerShell, WMI oder legitime Netzwerk-Utilities. Das macht sie extrem schwer zu erkennen, da sie wie normale Systemaktivität aussehen.
SMBv1 ist tot – oder doch nicht?
Obwohl Microsoft SMBv1 seit 2017 als veraltet markiert und in Windows 11 standardmäßig deaktiviert hat, läuft es noch auf Millionen von Systemen. Viele Unternehmen nutzen Legacy-Anwendungen, die SMBv1 erfordern, oder haben einfach vergessen, es zu deaktivieren. Cyberkriminelle wissen das und scannen systematisch nach SMBv1-fähigen Systemen.
Moderne Schutzstrategien
Effektiver Schutz vor SMB-basierten Angriffen erfordert heute einen mehrschichtigen Ansatz:
Network Segmentation: Isoliert kritische Systeme vom Rest des Netzwerks. Zero Trust-Architekturen, die jeden Netzwerkzugriff authentifizieren und autorisieren, haben sich als besonders effektiv erwiesen.
Endpoint Detection and Response (EDR): Moderne EDR-Lösungen wie CrowdStrike Falcon, Microsoft Defender for Endpoint oder SentinelOne erkennen anomales SMB-Verhalten in Echtzeit und können automatisch gegensteuern.
SMB-Hardening: Deaktiviert SMBv1 vollständig, aktiviert SMB-Verschlüsselung und nutzt SMB-Signing für alle Verbindungen. Windows-Systeme sollten SMBv3.1.1 mit AES-256-Verschlüsselung verwenden.
Vulnerability Management: Regelmäßige Patch-Zyklen sind essentiell. Microsoft veröffentlicht monatlich Sicherheitsupdates, aber kritische SMB-Patches sollten sofort eingespielt werden.
Network Monitoring: Tools wie Wireshark, Zeek oder kommerzielle SIEM-Lösungen können ungewöhnliche SMB-Aktivitäten aufspüren. Achtet auf ungewöhnliche Port-Scans, verdächtige Authentifizierungsversuche oder unerwartete Dateitransfers.
Die Rolle von Cloud-Security
Viele Organisationen migrieren zu Cloud-basierten Filesharing-Lösungen wie Microsoft 365, Google Workspace oder spezialisierte Plattformen. Diese bieten oft bessere Sicherheitskontrollen als traditionelle SMB-Shares und reduzieren die Angriffsfläche erheblich.
KI-gestützte Angriffe und Verteidigung
Cyberkriminelle nutzen zunehmend Machine Learning für adaptive Angriffe, die sich in Echtzeit an Verteidigungsmaßnahmen anpassen. Gleichzeitig setzen Sicherheitsanbieter KI für Behavioral Analysis ein, um unbekannte Bedrohungen zu identifizieren.
Praktische Sofortmaßnahmen
Überprüft euer Netzwerk auf exponierte SMB-Ports mit Tools wie Nmap oder Shodan. Deaktiviert SMBv1 über die Windows-Features oder per PowerShell-Befehl „Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol“. Konfiguriert Windows Firewall oder eure Netzwerk-Firewall, um SMB-Traffic nur intern zuzulassen.
Fazit
Die SMB-Bedrohungslandschaft bleibt hochdynamisch. Während die ursprünglichen NSA-Exploits gepatcht sind, entwickeln sich neue Angriffsvektoren ständig weiter. Proaktive Sicherheitsmaßnahmen, regelmäßige Updates und kontinuierliches Monitoring sind unverzichtbar. Unternehmen sollten ihre SMB-Infrastruktur regelmäßig auditieren und moderne Sicherheitstechnologien implementieren, um sich gegen aktuelle und zukünftige Bedrohungen zu wappnen.
Zuletzt aktualisiert am 02.04.2026
