WannaCry: Vorsichtiges Aufatmen

15. Mai 2017, 14:57
image

Innert kurzer Zeit verbreitete sich die Ransomware von Asien aus in der ganzen Welt. Inside-it.ch hat mit Security-Experten gesprochen.

Innert kurzer Zeit verbreitete sich die Ransomware von Asien aus in der ganzen Welt. Auch neue Varianten von WannaCry sind bereits im Umlauf.
Was am Freitag nach einem gezielten Angriff auf die britische NHS aussah, entpuppte sich im Laufe des Wochenendes als eine massive, nicht zielgerichtete Hacker-Kampagne. Die Ransomware "WannaCry" (auch bekannt unter WannaCrypt, WCrypt oder WCRY) infizierte laut Security-Experten über 200'000 Systeme in 150 Ländern. Ausgangspunkt war vermutlich in Asien.
Die Schweiz ist zwar betroffen, aber laut Melde- und Analysestelle Informationssicherung (Melani) in geringem Ausmass. Melani zufolge sind hierzulande rund 200 IP-Adressen bekannt, die infiziert sind, sagte Melani-Leiter Pascal Lamia der Nachrichtenagentur 'sda'. Da in der Schweiz für Unternehmen in einem solchen Fall aber keine Anzeigepflicht besteht, könnte diese Zahl höher sein.
Gepatchte Lücke ausgenutzt
Die Schadsoftware nutzt die als EthernalBlue bekannte Lücke SMB CVE-2017-0145 aus, für die Microsoft im März einen Patch, MS17-010, bereitstellte. Angreifbar sind ungepatchte Windows-7 und Windows-Server-2008-Systeme sowie ältere Windows-Betriebssysteme. Mittlerweile hat Microsoft gar Security-Patches für nicht mehr unterstützte Betriebssysteme zur Verfügung gestellt, darunter Windows XP und Server 2003.
Sobald sich die Malware auf einem System eingenistet hat, verbreitet sie sich wurmartig weiter, schreibt Microsoft in einem Blogeintrag. Noch ist aber unklar, wie die Schadsoftware initial auf die PCs der ersten Opfer gelangte. Derzeit wird davon ausgegangen, dass die Malware über einen E-Mail-Anhang verbreitet wurde, sagt Peter Fischer, Professor an der Hochschule Luzern und Experte für IT-Sicherheit und Datenschutz. Security-Unternehmen Check Point warnt in einem Statement vor infizierten PDF-Dateien.
Verbreitung vorerst eingedämmt
Vorerst eingegrenzt werden konnte die weitere Verbreitung von WannaCry dank eines "Kill-Switch", der durch Zufall von einem jungen Security-Experten gefunden wurde.
Die Schadsoftware kommt in Form eines sogenannten "Dropper-Trojaner" und beinhaltet zwei Komponenten: die unter WannaCrypt bekannte Verschlüsselungs-Komponente plus eine Komponente, die die Lücke, ausnutzt. Laut Microsoft-Blog versucht der Dropper sich mit einer Domain zu verbinden. Ist dies erfolgreich, stoppt die Malware ihre Arbeit. Der Security-Forscher von Malwaretech entdeckte im Code der Malware diese unregistrierte Domain. Er registrierte sie in der Hoffnung mehr Informationen über die Schadsoftware sammeln zu können. Der unerwartete Seiteneffekt war, dass die Schadsoftware nun Verbindung zur Domain aufnehmen konnte und deshalb ihre Arbeit einstellte.
Die Entdeckung dieses Kill-Switches gab am Wochenende Grund zum Aufatmen. Auch die Befürchtung von Europol, dass sich die Malware mit Beginn der neuen Arbeitswoche weiter ausbreitet, hat sich offenbar nicht bestätigt. Die Behörde gab heute Vormittag "vorsichtige Entwarnung".
An Ransomware müssen wir uns gewöhnen
Ob IT-Abteilungen rund um die Welt aber tatsächlich aufatmen dürfen, ist noch nicht klar. Noch gibt es keinen Schlüssel, um die Daten auf infizierten PCs zu entschlüsseln. Da nach einer Erstinfetkion WannaCrypt innert kürzester Zeit alle verwundbaren Computer in einem Netzwerk befallen kann, würden auch die Daten auf einem Backup-Server verschlüsselt, falls der Server in der gleichen Infrastruktur hängt, wie uns Sonja Meindl, Country Managerin Check Point Schweiz und Österreich, erklärt.
Auch könnte es bald neue Varianten der Schadsoftware geben. In der ersten Version tauchte WannaCrypt im Februar auf. Derzeit ist die Version zwei im Umlauf. Laut dem Portal 'The Hacker News' gebe es bereits Meldungen von weiteren Variationen, auch von solchen ohne den "Kill-Switch". Auch Fischer geht davon aus, dass Mutationen von WannaCry in den Umlauf gelangen können. "Es würde mich überraschen, wenn es anders wäre."
Finanziell motiviert?
Ransomware-Attacken werden immer häufiger, weil sie sehr lukrativ sein können, sagt Meindl weiter. Auch bei kleinen Forderungen komme aufgrund der grossen Menge an Opfern sehr schnell ein hoher Betrag zusammen. Bei einer kleineren Geldforderung – im aktuellen Fall 300 US-Dollar – sei die Wahrscheinlichkeit grösser, dass die Opfer bezahlen, sagt Fischer.
Aber trotz den aktuell über 200'000 infizierten Systemen seien bis anhin erst rund 30'000 Dollar Lösegeldzahlungen registriert worden. Dies könnte deshalb sein, weil Opfer auch nach dem Bezahlen des Lösegelds ihre Daten nicht erhalten hätten. Dass nicht immer alle Daten entschlüsselt werden, sei zwar normal, aber nicht in diesem Ausmass, meint Meindl.
Statt sich finanziell (stark) bereichern zu wollen, könnten die Cyberkriminellen auch schlicht Geld für ihre eigene IT-Infrastruktur "sammeln", nennt Fischer ein weiteres mögliches Motiv. (Katharina Jochum)

Loading

Mehr zum Thema

image

Cybersecurity bei EY

Mit dem Cybersecurity Team unterstützen wir bei EY unsere Kundinnen und Kunden bei der Risikominimierung von Cyberangriffen.

image

Exchange Zero Day: Microsoft muss Workaround abändern

Der erste Workaround bietet nur wenig Schutz.

publiziert am 5.10.2022
image

Geotech: Was die Schweiz für mehr Cybersicherheit tun kann

Die geopolitische Lage spitzt sich auch im Cyberspace zu. Einzelne Anbieter auszuschliessen, sei keine gute Massnahme, sagen Security-Experten. Sie bevorzugen andere Mittel.

publiziert am 4.10.2022
image

Studien zeigen Trägheit bei der Digitalisierung in der Schweiz

Die neuen Technologien werden zwar als Chance verstanden, aber Menschen haben Mühe, beim digitalen Fortschritt mitzuhalten.

publiziert am 4.10.2022