News zu WannaCry

Einige überraschende Erkenntnisse zum Ransomware-Angriff. Und was hat eigentlich die Botnet-Software Mirai damit zu tun?
 
Vor rund zehn Tagen und gefühlten 10'000 Medien-Berichten und Security-Mails fand die Ransomware-Attacke mit WannaCry statt, die mehr als 200'000 Computer betraf. Mittlerweile haben sich Analysten und Security-Experten mit dem Fall beschäftigt und einige teilweise überraschende Ergebnisse publiziert.
 
Betroffen war vor allem Windows 7
Nach der vormaligen Einschätzung, dass die Benutzung des nicht mehr supporteten Windows XP für die Epidemie verantwortlich sei, glauben Security-Forscher jetzt, dass das Betriebssystem grossteils nicht betroffen war – weil die PCs gecrasht seien bevor WannaCry seinen Job erledigen konnte. Dies schreibt 'Ars Technica'. Mittlerweile glauben Experten, dass nicht gepatchte Windows-7-Rechner für die virale Verbreitung der Schadsoftware verantwortlich sind.
 
Laut Kaspersky läuft auf mehr als 97 Prozent der infizierten Geräte Windows 7. In einem Twitter-Beitrag schreibt Costin Raiu, Director des Global Research und Analysis Teams von Kaspersky, dass die Zahl der infizierten Windows XP Computer unbedeutend sei.
 
Dies bezieht sich nur auf Computer auf denen Kaspersky-Software läuft. Die hohe Zahl von Windows-7-Geräten wird aber durch eine Untersuchung von BitSight gestützt. Die Security-Firma analysierte rund 160'000 betroffene Computer. Auf etwa 67 Prozent der infizierten Geräte liefe Windows 7, obwohl diese von weniger als der Hälfte aller Windows-PC-User eingesetzt werde, so BitSight.
 
Am Ursprung stand keine Mail-Kampagne
Auch die Annahme, dass die Malware über Spam-Mails und infizierte Mail-Attachements auf die Rechner gelangt sind, haben Experten revidiert. Die Sicherheits-Firma Malwarebytes hat in einem Blogeintrag festgehalten, dass WannaCry eine Lücke im Server Message Block (SMB) ausgenutzt habe.
 
Dabei habe die Schadsoftware automatisch nach offenen SMB-Ports gesucht und sich so in die Computer geschlichen, von dort verbreitete sie sich innerhalb lokaler Netzwerke. Der Exploit ist bekannt unter dem Namen EternalBlue und gehört zum NSA-Arsenal, das die Hackergruppe "Shadow Brokers" kürzlich veröffentlicht hat.
 
Es seien mehr NSA-Exploits im Eisatz, als man ursprünglich angenommen habe, schreibt 'Ars Technica' mit Verweis auf die Security Firma Secdo. Diese hatte am Freitag in einem Blogeintrag darauf hingewiesen, dass sie Beweise dafür gefunden habe, dass EternalBlue von verschiedenen Kriminellen benutzt werde um Ransomware zu installieren, Login-Angaben zu stehlen oder um Computer in Botnetze einzubinden – etwa um für Mining von Crypto-Währungen eingesetzt zu werden.
 
Unterstützung von Mirai: Geht es nochmals los?
Eine schlechte Nachricht vermeldete 'Wired' am Freitag. Die rasende Ausbreitung von WannaCry wurde aufgrund eines "Killswitches" – sowas wie ein Notausschalter – gestoppt. Ein junger Security-Forscher hatte zufällig entdeckt, dass die Malware ihre Arbeit einstellt, wenn sie sich mit bestimmten Domains verbinden kann. Der Entdecker des Kill-Switches hat die unbeanspruchten Domains selber registriert.
 
Nun versuchen Angreifer, mittels DDoS-Attacken die Infrastruktur hinter diesen offline zu nehmen. Dazu benutzen die Kriminellen ein Botnetz der berüchtigten Software Mirai, die letztes Jahr in die Schlagzeilen geraten ist. Sollten die Domains vom Netz genommen werden, besteht die Möglichkeit, dass sich die selbstreplizierende Infektion wieder ausbreitet. Momentan habe er noch Zugriffe von über 100'000 IP-Adressen pro Tag, schreibt der Security-Forscher heute in seinem Blog.
 
Zwar hört die Ransomware auf nach neuen Opfern zu scannen, wenn sie 24 Stunden auf einem Computer installiert ist, so ein Security-Forscher von Ciscos Talos Team. Aber wenn eine infizierte Maschine neu gebootet würde, starte das Scanning erneut.
 
Patch und Schlüssel sind vorhanden
Die NSA habe Microsoft über den Diebstahl der Werkzeuge in Kenntnis gesetzt und dem Konzern so erlaubt einen Patch bereits im März bereit zu stellen, berichtet die 'Washington Post' mit Verweis auf einen ehemaligen Cyber-Security-Beamten im Pentagon.
 
In der Zwischenzeit haben Security-Experten von WannaKiwi auch ein Tool publiziert, mit dem Opfer von WannaCry ihre Daten retten könnten. Allerdings dürfen die betroffenen Geräte nicht neu gestartet werden und die Software muss unmittelbar nach der Attacke eingesetzt werden. WannaKiwi könne sonst die zur Verschlüsselung benutzten Primzahlen nicht mehr ermitteln, da diese im Arbeitsspeicher überschrieben werden, wie die Entwickler von WannaKiwi in einem Blogbeitrag festhalten. (ts)