WannaCry: Noch immer aktiv, auch als eigener "Impfstoff"

19. September 2019, 15:39
  • security
  • wannacry
  • ransomware
image

Die Security-Forscher von Sophos haben sich dem Thema WannaCry gewidmet.

Die Security-Forscher von Sophos haben sich dem Thema WannaCry gewidmet. Ab dem 12. Mai 2017 trieb die Ransomware weltweit ihr Unwesen. Über 200'000 Systeme in 150 Ländern wurden von der Schadsoftware, die sich wurmartig verbreitete, infiziert. Und noch immer ist WannaCry aktiv – irgendwie, wie es im Sophos-Bericht heisst.
Laut den Security-Forschern sind nach wie vor Mutationen der Malware mit Millionen von versuchten Neuinfizierungen jeden Monat zu verzeichnen. Der 2017-Originalstamm der Schadsoftware wurde nur noch 40 Mal erkannt. Aber man habe zahlreiche kurzlebige Mutationen gefunden. Bereits bis Ende 2018 hätten die Sophos-Forscher 12'480 Varianten des ursprünglichen Codes identifiziert und allein im August 2019 habe man 6963 Varianten beobachtet. Warum aber sorgt dies nicht für grösseres Aufsehen?
Das Fortbestehen der WannaCry-Bedrohung sei im Wesentlichen auf die Fähigkeit der neuen Varianten zurückzuführen, den "Kill Switch" zu umgehen. Beim Kill Switch handelt es sich um eine spezifische URL, die, wenn die Malware eine Verbindung herstellt, den Infektionsprozess automatisch beendet.
WannaCry besteht aus mehreren Teilen: einem, der die Malware auf andere Computer verbreitet, sowie der Payload, einer Zip-Datei, die sich selbst extrahiert und alles in Reichweite verschlüsselt.
Aber in den neueren Varianten, die Sophos fand, war das Zip-File beschädigt. "Alles machte plötzlich Sinn", so die Autoren des Berichts. Die grosse Menge von Identifizierungen könne auf das Fehlen eines Kill-Switches zurückgeführt werden. "Aber niemand beschwerte sich über verschlüsselte Dateien, da fast jedes Sample, das in der Wildnis gefunden wurde, ein beschädigtes Zip-File hatte, das nichts verschlüsselte." Dies bedeute aber nicht, dass die Gefahr komplett gebannt sei.
Noch immer nicht gepatcht
Wie Sophos weiter ausführt, dienen die mutierten WannaCry-Varianten nun sozusagen als Impfstoff für PCs. Denn WannaCry checke, ob ein PC bereits infiziert sei. Falls dies der Fall sei, gehe die Malware unverrichteter Dinge zum nächsten System über.
Eine bereits bestehende Infektion durch eine inaktive Version der Schadsoftware schütze somit vor der Neu-Infektion mit einem aktiven Stamm. Die Tatsache aber, so betont Sophos, dass PCs überhaupt noch infiziert werden können, lasse den Rückschluss zu, dass der Patch für den EternalBlue-Exploit noch immer nicht eingespielt wurde. Ein Patch, der vor mehr als zwei Jahren von Microsoft publiziert wurde. "Und wenn bereits das Sicherheitsupdate, das vor mehr als zwei Jahren schon notwendig war, noch nicht umgesetzt ist, ist anzunehmen, das nachfolgende Patches auch nicht installiert wurden", so Michael Veit, Security Experte bei Sophos.
Der Bericht von Sophos ist online als PDF verfügbar. (kjo)

Loading

Mehr zum Thema

image

Ransomware-Gruppen im Darknet

Die schrittweise Veröffentlichung von gestohlenen Datensätzen im Darknet gehört zum Standardrepertoire jeder grösseren Ransomware-Gruppe. Kommt das Opfer den Forderungen der Cyberkriminellen nicht fristgerecht nach, werden dessen Informationen dort zugänglich veröffentlicht.

image

Hacker nehmen VMware- und F5-Sicherheitslücken aufs Korn

Die US-Cyberbehörde CISA warnt, dass die kürzlich bekannt gewordenen Lücken aktiv angegriffen werde, vermutlich von staatlich unterstützten Gruppierungen.

publiziert am 19.5.2022
image

Ransomware-Report: Vom Helpdesk bis zur PR-Abteilung der Cyberkriminellen

Im 1. Teil unserer Artikelserie zeigen wir, wann der Ransomware-Trend entstand und wie die Banden organisiert sind. Die grossen Gruppen haben auch die kleine Schweiz verstärkt im Visier.

Von publiziert am 18.5.2022
image

Google will "gehärtete" Open-Source-Software vertreiben

Der Cloudriese scheint von der Sorge vieler Unternehmen über die Sicherheit ihrer Software-Lieferkette profitieren zu wollen.

publiziert am 18.5.2022