WannaCry: Vorsichtiges Aufatmen

Innert kurzer Zeit verbreitete sich die Ransomware von Asien aus in der ganzen Welt. Auch neue Varianten von WannaCry sind bereits im Umlauf.
 
Was am Freitag nach einem gezielten Angriff auf die britische NHS aussah, entpuppte sich im Laufe des Wochenendes als eine massive, nicht zielgerichtete Hacker-Kampagne. Die Ransomware "WannaCry" (auch bekannt unter WannaCrypt, WCrypt oder WCRY) infizierte laut Security-Experten über 200'000 Systeme in 150 Ländern. Ausgangspunkt war vermutlich in Asien.
 
Die Schweiz ist zwar betroffen, aber laut Melde- und Analysestelle Informationssicherung (Melani) in geringem Ausmass. Melani zufolge sind hierzulande rund 200 IP-Adressen bekannt, die infiziert sind, sagte Melani-Leiter Pascal Lamia der Nachrichtenagentur 'sda'. Da in der Schweiz für Unternehmen in einem solchen Fall aber keine Anzeigepflicht besteht, könnte diese Zahl höher sein.
 
Gepatchte Lücke ausgenutzt
Die Schadsoftware nutzt die als EthernalBlue bekannte Lücke SMB CVE-2017-0145 aus, für die Microsoft im März einen Patch, MS17-010, bereitstellte. Angreifbar sind ungepatchte Windows-7 und Windows-Server-2008-Systeme sowie ältere Windows-Betriebssysteme. Mittlerweile hat Microsoft gar Security-Patches für nicht mehr unterstützte Betriebssysteme zur Verfügung gestellt, darunter Windows XP und Server 2003.
 
Sobald sich die Malware auf einem System eingenistet hat, verbreitet sie sich wurmartig weiter, schreibt Microsoft in einem Blogeintrag. Noch ist aber unklar, wie die Schadsoftware initial auf die PCs der ersten Opfer gelangte. Derzeit wird davon ausgegangen, dass die Malware über einen E-Mail-Anhang verbreitet wurde, sagt Peter Fischer, Professor an der Hochschule Luzern und Experte für IT-Sicherheit und Datenschutz. Security-Unternehmen Check Point warnt in einem Statement vor infizierten PDF-Dateien.
 
Verbreitung vorerst eingedämmt
Vorerst eingegrenzt werden konnte die weitere Verbreitung von WannaCry dank eines "Kill-Switch", der durch Zufall von einem jungen Security-Experten gefunden wurde.
 
Die Schadsoftware kommt in Form eines sogenannten "Dropper-Trojaner" und beinhaltet zwei Komponenten: die unter WannaCrypt bekannte Verschlüsselungs-Komponente plus eine Komponente, die die Lücke, ausnutzt. Laut Microsoft-Blog versucht der Dropper sich mit einer Domain zu verbinden. Ist dies erfolgreich, stoppt die Malware ihre Arbeit. Der Security-Forscher von Malwaretech entdeckte im Code der Malware diese unregistrierte Domain. Er registrierte sie in der Hoffnung mehr Informationen über die Schadsoftware sammeln zu können. Der unerwartete Seiteneffekt war, dass die Schadsoftware nun Verbindung zur Domain aufnehmen konnte und deshalb ihre Arbeit einstellte.
 
Die Entdeckung dieses Kill-Switches gab am Wochenende Grund zum Aufatmen. Auch die Befürchtung von Europol, dass sich die Malware mit Beginn der neuen Arbeitswoche weiter ausbreitet, hat sich offenbar nicht bestätigt. Die Behörde gab heute Vormittag "vorsichtige Entwarnung".
 
An Ransomware müssen wir uns gewöhnen
Ob IT-Abteilungen rund um die Welt aber tatsächlich aufatmen dürfen, ist noch nicht klar. Noch gibt es keinen Schlüssel, um die Daten auf infizierten PCs zu entschlüsseln. Da nach einer Erstinfetkion WannaCrypt innert kürzester Zeit alle verwundbaren Computer in einem Netzwerk befallen kann, würden auch die Daten auf einem Backup-Server verschlüsselt, falls der Server in der gleichen Infrastruktur hängt, wie uns Sonja Meindl, Country Managerin Check Point Schweiz und Österreich, erklärt.
 
Auch könnte es bald neue Varianten der Schadsoftware geben. In der ersten Version tauchte WannaCrypt im Februar auf. Derzeit ist die Version zwei im Umlauf. Laut dem Portal 'The Hacker News' gebe es bereits Meldungen von weiteren Variationen, auch von solchen ohne den "Kill-Switch". Auch Fischer geht davon aus, dass Mutationen von WannaCry in den Umlauf gelangen können. "Es würde mich überraschen, wenn es anders wäre."
 
Finanziell motiviert?
Ransomware-Attacken werden immer häufiger, weil sie sehr lukrativ sein können, sagt Meindl weiter. Auch bei kleinen Forderungen komme aufgrund der grossen Menge an Opfern sehr schnell ein hoher Betrag zusammen. Bei einer kleineren Geldforderung – im aktuellen Fall 300 US-Dollar – sei die Wahrscheinlichkeit grösser, dass die Opfer bezahlen, sagt Fischer.
 
Aber trotz den aktuell über 200'000 infizierten Systemen seien bis anhin erst rund 30'000 Dollar Lösegeldzahlungen registriert worden. Dies könnte deshalb sein, weil Opfer auch nach dem Bezahlen des Lösegelds ihre Daten nicht erhalten hätten. Dass nicht immer alle Daten entschlüsselt werden, sei zwar normal, aber nicht in diesem Ausmass, meint Meindl.
 
Statt sich finanziell (stark) bereichern zu wollen, könnten die Cyberkriminellen auch schlicht Geld für ihre eigene IT-Infrastruktur "sammeln", nennt Fischer ein weiteres mögliches Motiv. (Katharina Jochum)

Unser Kommentar:

Ein weiteres "Motiv" für die eher seltsame Vorgehensweise der Urheber der aktuellen Ransomware-Attacke könnte auch schlichte Unfähigkeit sein.
 
Das Ganze gab aber zumindest den PR-Abteilungen der Security-Anbieter von gross bis klein einen Anlass, wieder einmal kräftig in die Tasten zu hauen (oder schon vorhandene Text-Konserven zu Copy-Pasten). Uns erreichten heute gegen 30 Kommentare und Statements von Security-Firmen, oft mit eher losem Bezug zum aktuellen Angriff, und dafür den immer wiederkehrenden, sicher zu beherzigenden aber nicht gerade neuen Tipps: Öffnen Sie keine verdächtigen Attachments. Halten Sie ihre Software auf dem neusten Stand und spielen Sie Security-Updates ein, insbesondere für Windows. Und benützen Sie Antiviren-Software.
 
Und noch eine Anekdote bezüglich Finanzen: Die WannaCry-Leute mögen nur wenig Geld verdient haben, aber sie haben ziemlich viel Börsenwert geschöpft. Die Aktien vieler Security-Anbieter sind heute um ein paar Prozent gestiegen. Nach meiner kurzen Überschlagsrechnungen haben alleine Sophos, FireEye, Palo Alto, Symantec und Check Point - nur eine kleine Stichprobe aller Anbieter - ihren Marktwert heute zusammen um knapp zwei Milliarden Dollar gesteigert. (Hans Jörg Maron)