WannaCry: Weltweiter Erpressungstrojaner-Angriff auf Computernetzwerke

Article by · 14. Mai 2017 ·

Der Erpressungstrojaner WannaCry (WanaDecrypt0r 2.0) ist am Freitag (12.05.2017) weltweit in Computernetze eingedrungen, zum Teil in kritische Infrastrukturen. Nach Angaben von Europol wurden 220.000 Computer in mindestens 150 Ländern von der Malware infiziert, die enorme Schäden anrichtete. Der Angriff wird sehr ernst genommen, in Deutschland ermittelt das BKA bereits, aber ebenso werden Polizei und Geheimdienste anderer betroffener Länder nach Spuren der Angreifer suchen.

WannaCry war sicher der am schnellsten verbreitete Erpressungs-Trojaner aller Zeiten: Innerhalb einer nur kurzen Zeitspanne hatte er 220.000 Computer in mindestens 150 Ländern befallen, verschlüsselt und die Besitzer mit Lösegeldforderungen erpresst. Nutzer wurden aufgefordert, eine an Stichtage gebundene Summe von zunächst 300 US-Dollar, später 600 US-Dollar in Bitcoin zu zahlen, sonst droht WannaCry mit Datenverlust. Innerhalb nur weniger Stunden registrierten die Anbieter von Antivirensoftware Kaspersky 45.000 Angriffe in 74 Ländern, Konkurrent Avast stellte gar 75.000 Attacken in 99 Ländern auf Nutzer seiner Schutzlösung fest. Nach ersten Einschätzungen lag der Schwerpunkt der Angriffe vor allem in Russland, der Ukraine und Taiwan, hieß es bei Avast in einem Blogeintrag.

Über die Identität der Verursacher der massiven Störungen ist noch nichts bekannt. Die Ransomware WannaCry verbreitet sich als Wurm von befallenen Systemen aus weiter über eine Sicherheitslücke in Windows Dateifreigaben (SMB) und kann ohne Umweg, wie verseuchte E-Mails, andere Rechner direkt über das Netz infizieren. Bisher sind fünf Bitcoin-Adressen der Erpresser bekannt geworden. Auf diese “Konten” gingen nicht mehr als 100 Zahlungen ein. Daraus schließt man auf Erlöse von maximal rund USD 26.090, berichtet thehackernews.

Das SMB-Exploit, das derzeit von WannaCry genutzt wird, wurde als EternalBlue identifiziert und gehört zu einer Sammlung von Hacking-Tools, die angeblich von der NSA erstellt und dann von einer Hackengruppe, den “The Shadow Brokers” , ins Netz gestellt worden ist.

So kann dieser Angriff als eine der größten Verbreitungskampagnen von Schadsoftware seit Jahren gewertet werden:

  • In Großbritannien soll er durch “technische Störungen” des Nationalen Gesundheitssystems dazu geführt haben, dass Operationen abgesagt wurden, Röntgenaufnahmen und Patientenakten nicht mehr zugänglich waren und Telefone nicht mehr funktionierten, wie der Guardian berichtet. Nach offiziellen Angaben infizierte der Cyber-Angriff 48 Organisationen des staatlichen Gesundheitsdienstes NHS.
  • In Russland traf es Computer des Innenministeriums, es fielen rund 1.000 Computer aus, doch man kommentierte dort sogleich: Der Virus habe zu keinen Lücken geführt, die interne Informationen preisgegeben hätten. Inzwischen sei er lokalisiert, gab die Sprecherin des Ministeriums bekannt. Auch die Aufsicht über die Bank von Russland beruhigte laut Tass. Man habe keine Zwischenfälle festgestellt, die die Weitergaben von Daten der Banken betroffen hätten.
  • Weiterhin haben die massiven Cyber-Angriffe am Wochenende die Produktion der kooperierenden Autohersteller Renault und Nissan behindert. Renault stoppte den Betrieb in einigen Werken in Frankreich. In Spanien traf es den Telekom-Konzern Telefónica und in den USA den Versanddienst Fedex, in Schweden waren 70 Computer der Gemeinde Timrå betroffen, hieß es auf der Webseite der Verwaltung. Zahlreiche Kunden der Bank Millennium BCP hatten am Freitag lange keinen Zugriff auf ihre Online-Konten. Das Geldhaus teilte mit, man sei nicht attackiert worden, habe aber vor dem Hintergrund der Cyberattacke vorbeugende technische Vorkehrungen ergriffen.
  • In Deutschland wurden Rechner der deutschen Bahn infiziert. Der Schädling habe dabei die Systeme der Anzeigentafeln auf den Bahnhöfen befallen, bestätigte das Unternehmen am Samstag. Nach Angaben des Bundesinnenministeriums ist zudem die Videoüberwachung auf Bahnhöfen betroffen. Das Bundesinnenministerium teilte auf Twitter mit, dass das Bundeskriminalamt die Ermittlungen zu dem Erpressungs-Trojaner übernommen habe. Computersysteme der Bundesregierung seien nicht infiziert. Von dem Cyberangriff betroffene Institutionen sollten sich an das Bundesamt für Sicherheit in der Informationstechnik (BSI) wenden. Innenminister Thomas de Maizière (CDU) betonte, der Angriff sei nicht der erste seiner Art, aber besonders schwerwiegend. Regierungsnetze seien aber nicht betroffen.

Aktuell scheint Wannacry sich nicht weiterzuverbreiten. Ein Sicherheits-Experte aus Großbritannien hat durch Zufall eine Art Selbstzerstörungs-Mechanismus der Software ausgelöst. Durch Untersuchungen fand er heraus, dass, bevor Wannacry mit seinem zerstörerischen Werk beginnt, er eine bestimmte Webadresse abruft, die aus obskuren Zahlen und Buchstaben besteht. Er schaute nach, ob es die Notfall-Webseite überhaupt gibt. Die Adresse war noch zu bekommen. Also registrierte er sie einfach, für günstige 9,77 Euro. “Wir hatten sofort 5.000 oder 6.000 Verbindungen die Sekunde”, erklärte der 22-Jährige aus Großbritannien gegenüber “Daily Beast“. Allerdings geht er davon aus, dass die Angreifer demnächst eine überarbeitete Version auf das Netz loslassen. Die Windows-Updates sollten also unbedingt trotzdem eingespielt werden. Als Held sieht sich der bei Twitter unter dem Namen “@MalwareTech” aktive Sicherheitsexperte nicht. Das Ganze sei “völlig ohne Absicht” passiert.

Für die Updates zur Schließung ihrer Sicherheitslücke sorgte Microsoft. In einer Blitzaktion erstellten sie Sicherheitsaktualisierungen für alle Kunden, um auch die Windows-Plattformen zu schützen, die nur in so genannter benutzerdefinierter Unterstützung sind, einschließlich für die eigentlich nicht mehr unterstützten Windows-Versionen. Darunter ist ebenso ein Update für das inzwischen 16 Jahre alte Windows XP, dessen Support der Konzern bereits 2014 eingestellt hatte, Windows 8 und Windows Server 2003. Wer eine aktuelle Version von Windows benutzt, muss sich keine Sorgen über den Fernangriff machen: Microsoft hat die NSA-Schwachstelle schon im März (durch den Software-Patch vom 14.03.2017 (MS17-010)) per Sicherheits-Update behoben. Zudem hat Microsoft nun öffentlich reagiert und im TechNet-Blog eine entsprechende Notiz für alle Betroffenen veröffentlicht.

CCC-Sprecher Linus Neumann wirft der NSA vor, Millionen Rechner weltweit in Gefahr gebracht zu haben. Auch kriminelle oder feindliche Geheimdienste hätten sie nutzen können. Dass die NSA nicht reagierte, um die Systeme selber befallen zu können, bezeichnet Neumann als “fundamental falsch”: “Das Schadenspotenzial steht in keinem Verhältnis zu den Zielen der Geheimdienste.”

Der US-amerikanische Whistleblower Edward Snowden beurteilt die Ereignisse ähnlich. Auf Twitter schreibt Snowden, es handele sich hier um einen ganz besonderen Fall. “Wenn die NSA die Sicherheitslücke, die für den Angriff auf Krankenhäuser genutzt wurde, geschlossen hätte, als sie sie gefunden haben, nicht erst als sie sie verloren haben, wäre der Angriff nicht passiert”, kritisiert der Whistleblower.

Sicherheitsexperten gehen davon aus, dass die Cyberangriffe mit Erpressersoftware noch nicht vorüber sind. Sie warnen zudem vor neuen Attacken: “Ich gehe davon aus, dass es von dieser Attacke früher oder später eine weitere Welle geben wird”, sagte Rüdiger Trost von der IT-Sicherheitsfirma F-Secure. Der Angriff über die Windows-Sicherheitslücke habe zu gut funktioniert, um aufzugeben.

Auch der Chef der europäischen Ermittlungsbehörde Europol, Rob Wainwright, gab am Sonntag dem britischen Fernsehsender ITV seine Einschätzung bekannt: “Die Zahlen gehen hoch.” Die Welt habe mit einer wachsenden Bedrohung zu tun, meint Wainwright. Er rechnet mit noch mehr Fällen zu Beginn der neuen Arbeitswoche. Der Europol-Chef hält es für wahrscheinlich, dass mehrere Personen für den Cyber-Angriff verantwortlich sind.

Bildquelle, thx! (CC0 1.0 Public Domain)

Mehr zu diesem Thema:

Flattr this!


    Leave a comment