Update: NSA Exploit sorgt für weltweite Attacke

WannaCry Ransomware infiziert tausende Systeme

Die Ransomware WannaCrypt0r hat weltweit tausende Systeme infiziert. Geholfen hat ein NSA-Exploit sowie eine längst gepatchte Schwachstelle in Windows SMB. Neueste Informationen deuten auf weitere Varianten der Malware hin.

Kurz vor dem Wochenende schlug weltweit ein Ransomware-Trojaner namens WannaCrypt0r bzw WannaCry zu. Die Sicherheitsbehörde Europol zählt mehr als 200 00 Opfer in mehr als 150 Ländern. Die einzig gute Nachricht: WannaCry war scheinbar keine gezielte Attacke auf einzelne Systeme, sondern „nur“ ein extrem erfolgreicher und weitreichender Angriff. Betroffen waren Unternehmen, Krankenhäuser, Privatpersonen. Hierzulande erwischte es unter anderem die Deutsche Bahn.

So arbeitet WannaCry

Die Malware infiziert ihre Opfer über ein Link oder eine PDF-Datei, die zu einer HTA-Datei führt. Diese HTA-Datei wiederum lädt die eigentlichen Verschlüsselungsfunktionen nach. Für den Angriff nutzt die Ransomware aller Wahrscheinlichkeit die Lücke MS17-010, eine Schwachstelle in Windows SMB – diese wurde bereits im März geschlossen. Besonders kritisch ist, dass ein passendes Exploit namens ETERNALBLUE für diese Lücke in den NSA-Datenleaks der Shadowbroker enthalten war.

Nach der Infektion sucht WannaCry nach insgesamt 179 Dateitypen. Dazu gehören:

• Office-Dateien wie .doc, .docx, .xls, .xlsx oder .ppt und .pptx.

• Archive und Media-Dateien wie .zip, .rar, .tar, .bz2, .mp4, .mkv

• E-Mails und -Datenbanken wie .eml, .msg, .ost, .pst, .edb

• Datenbanken, darunter .sqlite3, .sql, .accdb, .mdb, .dbf, .odb, .myd

• Dateien von Programmiersprachen wie .php, .java, .cpp, .pas, .asm

• Verschlüsselungsinformationen wie .key, .pfx, .pem, .p12, .csr, .gpg, .aes

• Daten von professionellen Grafikprogrammen wie .vsd, .odg, .raw, .nef, .svg, .psd

• Daten virtueller Maschinen, darunter .vmx, .vmdk, .vdi

Eine komplette Liste gibt es in der sehr guten Analyse der Malware von Comae Technologies. WannaCry zeigt anschließend Informationen zur Verschlüsselung und Erpressung an. Die Kriminellen haben zahlreiche Sprachen integriert. Eine Entschlüsselung gibt es aktuell noch nicht.

Sicherheitslücke seit März gepatcht

Wer hat Schuld an diesem massiven digitalen Angriff? Allein die Schuld auf Microsoft zu schieben wäre zu einfach. Nicht nur hat das Unternehmen die Schwachstelle bereits im März gepatcht – entsprechend haben Nutzer ungesicherter Systeme zumindest eine Mitschuld. Ziel waren zudem auch Systeme, deren offizieller Support längst ausgelaufen, die aber immer noch im aktiven Einsatz sind. Nach der Attacke hat Microsoft daher außerplanmäßige Patches für Windows XP, Windows 8 und Windows Server 2003 veröffentlicht.

Parallel sind auch die Geheimdienste wie die NSA mitverantwortlich. Nur durch die geleakten Exploits konnte WannaCry so erfolgreich sein – das sind Sicherheitslücken, die längst an die Hersteller gemeldet hätten werden können.

Zufällig erfolgreiche Ransomware

Die gute Nachricht: WannaCry war scheinbar keine gezielte Attacke, die Kriminellen waren eher zufällig so erfolgreich. Dafür spricht etwa die verlangte Summe. Lediglich 300 Dollar in Bitcoin sollten für die Entschlüsselung anfallen. Ransomware, die es auf große Unternehmen abgesehen hat, verlangt oft mehr.

Zudem konnte MalwareTech, ein Blogger und Malware-Experte die Ausbreitung schnell nachvollziehen, die genutzte Schwachstelle identifizieren und WannaCry stoppen. Er selbst nennt seine Lösung „Zufall“, ihm half aber offensichtlich sein gutes Netzwerk und seine Erfahrung. MalwareTech und Darien Huss spürten einen Kill Switch in der Malware auf und konnten die Ausbreitung stoppen.

Damit ist die Gefahr allerdings nicht gebannt. Eine neue Version von WannaCry könnte diesen Kill Switch nicht mehr enthalten. Sicher ist nur, wer die Updates einspielt und die Schwachstelle schließt.

Warten auf die nächste Attacke

WannaCry reiht sich in die die lange Reihe von Malware, die mit öffentlich verfügbaren Methoden großflächig für Schaden sorgt. Wie Mirai stellt das die Sicherheitsverantwortlichen vor neue Herausforderungen. Die notwendigen Informationen für diese Attacken schwirren weiter im Web herum, mit jedem Leak haben mehr Kriminelle und gelangweilte Entwickler Zugriff auf hochgradig gefährliche Exploit und Attacken.

Es bleibt zu hoffen, dass WannaCry ein Weckruf für IT-Verantwortliche und Gesetzgeber ist. Bekannte Sicherheitslücken, für die Updates verfügbar sind, müssen schnellstmöglich geschlossen werden. Es kann nicht sein, dass Exploits monatelang, ja jahrelang verwundbare Systeme finden können. Das gilt nicht nur für Windows-PCs oder Server. Sondern auch für industrielle Kontrollsysteme, Smartphones und Smart-Home-Geräte. Die Politik muss die Hersteller stärker in die Pflicht nehmen – wer nur hinter den Angreifern her ist, wird keine Attacken verhindern.

Update vom 15.05.2017 14:30 Uhr: Weitere WannaCry-Varianten

Inzwischen mehren sich die Anzeichen, dass es weitere Varianten der WannaCry-Ransomware gibt, teils mit anderen Kill-Switch-Domains, teils angeblich sogar ohne Kill Switch. Eine zweite Angriffswelle auf die durch den EternalBlue-Exploit verwundbaren Systeme scheint also jederzeit möglich.

Bitte beachten Sie

Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Business Media. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.