Datum: | Sicherheit

WannaCrypt

Ein Verschlüsselungstrojaner mit dem Namen "WannaCry" wütet seit dem 12.03.2017 und befällt quer über den Globus Windows-Systeme, darunter auch kritische Infrastrukturen, wenn auch eher zufällig. Dass die Plünderung der digitalen Schatzkiste des NSA weltweit solche Auswirkungen hat ist wirklich erschreckend, zumal Microsoft zeitnah nach Bekanntwerden einen Patch für seine Betriebssysteme veröffentlichte, lange genug vor dieser Angriffswelle. Der folgende Artikel ist eine Bestandsaufnahme zu WannaCry, Auswirkungen und Schutzmöglichkeiten.

Woran hat´s gelegen? Ursachen der Ausbreitung von WannaCry

Anfang 2017 war die Häme noch groß, als die Hacker-Gruppe Shadow Brookers die digitale Schatzkiste der NSA plünderte und Exploits des NSA-Teams Equation Group veröffentlichte. Darunter befand sich auch eine Lücke in den Windows-Dateifreigaben SMB, welche Microsoft nach dem öffentlichen Bekanntwerden mit MS17-010 umgehend fixte (KB 4013389). Bereits hier beginnt die Tragödie, da Microsoft ausgelaufene Systeme wie Windows XP oder Windows Server 2003 schlicht überging, obwohl gerade diese Systeme noch immer in Betrieben und in der öffentlichen Verwaltung eingesetzt werden.

Der Rest war dann nur noch Recyceln alter Module von Crypto-Trojanern mit Anpassung auf die neue Sicherheitslücke und fertig war „WannaCry“, welcher auch als Wana Decrypt0r 2.0 bezeichnet wird und sich seit dem 12.05.2017 weltweit verbreitet. Die Angriffe erfolgen dabei auf klassischem Wege über Mails, Verbreitung gibt es dann auch innerhalb von befallenen Netzwerken.

Der Trojaner verschlüsselt gefundene Dateien und nimmt diese in Geiselhaft. Gegen Zahlung von 300 US-Dollar über Zahlungsmittel wie Bitcon sollen die Daten wieder freigegeben werden. Die Infektion und Arbeitsweise von WannaCry hat Securelist in einem Blogbeitrag dokumentiert.

Wanna Crypt0r

Wana Crypt0r

Weltweiter Befall

Die Erpresser dürften von ihrem eigenen Erfolg sicher mehr als überrascht sein. Weltweit sind Systeme, nicht nur von Privatanwendern, betroffen, wobei der Schwerpunkt ganz deutlich in Russland liegt.

In Deutschland hat es als promimentes Opfer die Deutsche Bahn erwischt, deren Anzeigetafeln nicht nur Verspätungen, sondern auch den WannaCry-Erpresserschirm zeigten.

Wanna Crypt0r

Befall bei der Deutschen Bahn

Dass die Verbreitung – trotz des Patches von Microsoft – so rasant um die Welt ging, hängt mit zwei Faktoren zusammen: zum einen der Sorglosigkeit vieler Admins bei der Verteilung von Patches und zum anderen dem Schritt von Microsoft, die alten, noch weit verbreiteten Systeme wie Windows XP zunächst ungepatcht zu lassen.

Rückzieher von Microsoft

Während hierzulande bereits das Bundeskriminalamt entsprechende Ermittlungen aufgenommen hat und das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor der Ransomware warnt, konnte ein Twitter-Nutzer einen „Notschalter“ in dem Trojanercode finden und so die weitere Verbreitung stoppen. Die genaue Entdeckung hat er in einem Blogbeitrag dokumentiert.

Microsoft seinerseits versucht den Schaden zu begrenzen und sieht sich wegen der weltweiten Ausbreitung zu dem Schritt gezwungen, auch für die bereits abgeschriebenen Systeme wie Windows XP oder Server 2003 einen Patch nachzulegen.

Schuldzuweisungen?

Zwischenzeitlich ist Microsoft in die Offensive gegangen und gibt vor allem der US-Regierung die Schuld, bekannte Sicherheitslücken verschwiegen und dann gestohlen bekommen zu haben. Der Rechtsvorstand von Microsoft bezeichnet das Szenario sogar damit, als wären dem US-Militär einige seiner "Tomahawk"-Marschflugkörper gestohlen worden.

Eine Analyse wird später vielleicht zeigen, welche Systeme (Betriebssysteme) genau betroffen waren. Der Verdacht drängt sich auf, dass vor allem alte XP-Systeme befallen sind. Ob sich Microsoft damit aus der Verantwortung stehlen kann, dass der Support für diese Systeme bereits 2014 eingestellt wurde, bleibt nicht nur eine ethische Frage.

Zumindest Windows-10-Nutzer dürften sich freuen: Der oft kritisierte Auto-Update-Zwang hat auf solchen Systemen Schlimmeres verhindert und spielt damit den Redmondern genau mit deren Argumentation für Autoupdates in die Karten.

Schutz vor gleichgelagerten Angriffen

Die aktuelle Pandemie von Ransomware-, welche eigene Dateien wie Dokumente, Bilder oder Videos verschlüsselt und nur gegen Zahlung eines Lösegeldes vielleicht wieder freigibt, ist bedrohlich. Und guter Rat zur Abhilfe, wenn man selbst betroffen ist, teuer. Außer man hat ein richtiges Backup in der Hand.

In unserem Artikel "Strategien zum Schutz vor Trojanern wie Locky: das richtige Backup!" haben wir bereits 2016 Strategien für ein richtiges Backup, aber auch Fallen von solchem geschildert, welche auch heute wieder aktuell sind.

44 Bewertungen

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne Ø 4,34
WannaCry – Die Rückkehr der Crypto-Trojaner
Loading...

Hinterlasse eine Antwort

(wird nicht veröffentlicht)

Nutzungsrichtlinien beachten