WannaCry: Der größte globale Ransomware-Angriff

WannaCry: Der größte globale Ransomware-Angriff

18.05.2017 – 15:15 Uhr

Am Freitag, den 12.05.2017 fand die bislang größte globale Ransomware-Attacke statt. WannaCry, auch bekannt als Wcrypt, WCRY, WannaCrypt oder Wana Decrypt0r 2.0, betrifft bisher 200.000 Nutzer in 150 Ländern, darunter Einzelpersonen und Organisationen gleichermaßen. Die Ransomware verschlüsselt Dateien der Nutzer und fordert anschließend umgerechnet $300 - $600 für die Freigabe. Ein Countdown verleiht der Lösegeld-Forderung Nachdruck, die Schadsoftware droht nach Ablauf der Frist mit der Löschung der verschlüsselten Dateien. Eine Garantie, die eigenen Daten wiederzuerhalten gibt es nicht: Es sind noch keine Fälle bekannt, in denen Nutzerdateien nach der Zahlung entschlüsselt wurden. Bisher entschlossen sich ca. 57% der betroffenen Nutzer für eine Zahlung.

Ransomware goes viral: Verbreitung wie ein Lauffeuer

Besonderes Merkmal von WannaCry ist die automatisierte Verbreitung der Ransomware über Netzwerke. Der Krypto-Trojaner kann andere Rechner identifizieren, die mit dem gleichen System verbunden sind und verbreitet sich so besonders in IT-Strukturen von Unternehmen in rasender Geschwindigkeit.
Der Erpressungs-Trojaner nutzt eine Sicherheitslücke in Windows Betriebssystemen, die bis April nur der NSA bekannt war. Die anonyme Gruppe „The Shadow Brokers“ entwendete die Information und veröffentlichte die Ergebnisse. Bereits im Februar gab es Cyberangriffe, die die Sicherheitslücke ausnutzten. Die Bekanntwerdung der NSA als Quelle der Sicherheitslücken entfachte eine Debatte über die Rolle von Geheimdiensten im Bereich IT-Security. Viele Unternehmen fordern, dass Geheimdienste die ihnen bekannten Sicherheitslücken transparent machen, anstatt sie geheim zu halten um verdächtige Nutzer auszuspähen.

Speziell im Cyberbereich sind Nachrichtendienste nicht unsere Freunde! Hier werden auf Kosten der Bürger und Wirtschaft entdeckte Sicherheitslücken zurückgehalten, um sich eine Hintertür zur Überwachung offen zu halten. Ein absoluter Skandal!
(patronus.io CEO Matthias Friese im Interview mit IT-Zoom.de)

Erpressungs-Trojaner mit eingebauter Notbremse

Ein 22jähriger Web Security Researcher, der unter dem Twitter Handle @Malwaretechblog agiert, konnte die Verbreitung der Ransomware durch einen Zufall aufhalten. WannaCry greift vor der Verschlüsselung der Dateien auf eine Webadresse zu, eine Art Notfallsperre um die automatisierte Verbreitung aufhalten zu können. Der Security Experte stellte fest, dass diese Domain nicht vergeben war und registrierte sie – die virale Verbreitung wurde so vorerst gestoppt. Die Ransomware kann jedoch nach wie vor über andere Wege ins System gelangen, als die ausgenutzte Sicherheitslücke im SMB-Protokoll von Windows. Updates schützen in so einem Fall nicht vor der Infektion.
Gebannt ist die Gefahr von WannaCry damit noch nicht, die nächste Version der Erpressungssoftware war bereits am Wochenende im Umlauf. Eine Notbremse war auch hier eingebaut – und wurde wie in der ersten Version von WannaCry durch die Registrierung der entsprechenden Domain aktiviert. Dass dieser sogenannte „Kill Switch“ erneut verwendet wurde, gibt Experten Rätsel auf.

Kleiner Fehler, große Wirkung: Vernachlässigte Sicherheitsupdates

Sicherheitsupdates werden von Unternehmen und sogar großen Konzernen oft vernachlässigt, notwendige Sicherungen und Mitarbeiter-Schulungen finden nicht statt. Neuere Versionen von Plugins, Software oder Betriebssystemen können mit kleineren Fehlern einhergehen, die Betriebsabläufe beeinträchtigen. Während der Vorteil des Schutzes vor Attacken wie WannaCry auf Verantwortliche eher abstrakt wirkt, betreffen die möglichen Betriebsunterbrechungen durch Updates Unternehmen konkret im Arbeitsalltag. Die Entscheidung fällt daher noch oft zugunsten der veralteten Version einer Software.

Ein anderer Grund für die lückenhafte Umsetzung von Updates sind Mitarbeiter: Plugins werden von ihnen oft ohne vorherigen Sicherheitscheck installiert und nicht geupdated, Entscheider haben keinen Überblick über vorhandene Plugins oder Software, Sicherheitsschulungen für die Mitarbeiter finden nicht statt. Auch werden veraltete Betriebssysteme genutzt, die keine Updates mehr erhalten. Aus diesem Grund waren unter anderem Anzeigetafeln und Lautsprecher der Deutschen Bahn von WannaCry betroffen. Microsoft sah sich daher anlässlich der Angriffe dazu angehalten, ein Update für das seit 3 Jahren nicht mehr aktualisierte Betriebssystem Windows XP anzubieten.
Die „Shadow Brokers“ kündigten an, bald weitere Sicherheitslücken zu veröffentlichen, die für Angriffe ausgenutzt werden könnten.

Update: Am 27.06.2017 folgten weitere Angriffe, die Sicherheitslücke Eternal Blue ausnutzten und global Schaden anrichteten. Mehr dazu

Haben Sie Fragen?

Wir sind für Sie da!

+49 (30) 555 748 596

Kontakt