GlobalSign Blog

19 Mai 2017

WannaCry Ransomware verbreitet sich rasant weltweit: Bisher mehr als 200.000 Computer betroffen

WannaCry

Am Freitag, den 12. Mai 2017 wurde das Internet von einem massiven Malwareangriff getroffen. Das Schadprogramm verbreitete sich wie ein Buschfeuer rund um den Globus und allein über das letzte Wochenende waren bereits mehr als 200.000 Computer betroffen. Die berüchtigte Malware heißt WannaCry, eine tödliche „Ransomware“, die Computer sperrt und Dateien unzugänglich macht und verschlüsselt.

Unternehmen und Benutzer aus mehr als 150 Ländern sind betroffen, von Großbritannien, über Spanien, Deutschland, Japan und Pakistan bis Indien. Mitarbeiter in IT-Abteilungen versuchen Tag und Nacht die Betriebssysteme wieder zu installieren und Daten wieder herzustellen. Manche mit Erfolg, aber viele andere sind noch immer auf der Suche nach Lösungen. Einige Unternehmen scheinen das geforderte Lösegeld gezahlt zu haben. Schlicht, weil sie keinen anderen praktikablen Weg gesehen haben, um wieder auf ihre Daten zugreifen zu können.

Es gibt noch immer viele Fragen:

  • “Woher kommt die Ransomware?”
  • “Warum haben bestehende Sicherheitssysteme die Ransomware nicht abwehren können?” und
  • “Wird es in Zukunft weitere Angriffe dieser Art geben?”

Woher kommt das Schadprogramm WannaCry und wie funktioniert es?

Verschiedene Quellen haben das massive Chaos einer nicht ganz unbekannten Hackergruppe namens Shadow Broker zugeordnet. Die Angreifer haben Daten von mehr als 200.000 Computern gesperrt und geben sie nur gegen eine Lösegeldzahlung in Bitcoins in Höhe von 300 – 600 US Dollar frei. Die Wahl dieses Zahlungsmittels ist nicht überraschend, das sich die Transaktionen nicht nachvollziehen lassen.

Das Schadprogramm zielt hauptsächlich auf PCs mit älteren Betriebssystemen wie Windows XP und Windows 7 ab, die anfällig für den EternalBlue Exploit sind. WannaCry ist deshalb so folgenschwer, weil ein Endbenutzer im Vergleich zu anderen Ransomware-Varianten nicht auf einen Link klicken oder eine Datei herunterladen muss, damit das Schadprogramm Zugang zu einem Gerät hat. Stattdessen macht es sich den Exploit zunutze und ist in der Lage sich selbstständig auf anderen Geräten ausbreiten (z.B. alle die mit dem gleichen lokalen Netzwerk verbunden sind). Als Folge des Angriffs hat Microsoft ein Notfall Patch für XP Systeme herausgegeben. Aber bis dahin waren schon Tausende von Computern infiziert und gesperrt, einschließlich dem britischen Gesundheitssystem NHS, der National Petroleum Company in China und Renault Fabriken in Frankreich.

Und der Angriff ist noch nicht vorbei. Ein Mitarbeiter von Malware Tech hatte veröffentlicht einen “Notaus”-Schalter gefunden und dadurch verhindert zu haben, dass sich die Malware weiter ausbreitet. Es zeigte sich aber recht schnell, dass sich die Ausbreitung nur verlangsamt hat. Neben anderen hat der Sicherheitsanbieter Kaspersky bestätigt, dass eine neue, noch stärkere Version des Schadprogramms verbreitet wurde, kurz nachdem die Neuigkeiten über den „Notaus“-Schalter die Schlagzeilen beherrschten. Diese neue Version kann nicht über den „Notaus“-Schalter gestoppt werden, und eine neue Welle von Angriffen ist für diese Woche erwartet worden.

Wie kann man sich vor WannaCry schützen?

In diesem Fall ist Vorbeugen die beste Option. Ganz wichtig ist es dabei ein Update für Ihr System durchzuführen. Falls Ihr privater Computer oder Ihr Bürosystem eine alte Version von Windows nutzt, sind diese stark gefährdet. Ein aktuelles System ist zwingend notwendig, um das Risiko von gefährlichen Schwachstellen zu reduzieren.

Wie schon erwähnt ist ein Unterscheidungsmerkmal von WannaCry, dass es sich im lokalen Netzwerk ohne Interaktionen ausbreiten kann. Falls eines Ihrer Systeme oder ein Server betroffen ist, gibt es nur einen Weg, um die Ausbreitung zu verhindern: ziehen Sie Ihr LAN-Kabel oder trennen Sie die WLAN-Verbindung.

Auch wenn es scheint, dass Phishing-E-Mails bei WannaCry  keine Rolle gespielt haben sollten Sie trotzdem vorsichtig mit verdächtigen E-Mails und Dateien umgehen. Besonders weil, wie auch in diesem Artikel erwähnt wird, Trittbrettfahrer  sich die von WannaCry ausgehende Gefahr zunutze machen und Leute davon überzeugen, falsche Entschlüsselungslösungen herunterzuladen.

Ransomware wie WannaCry sollte man nicht auf die leichte Schulter nehmen und sie zeigt wieder einmal warum eine mehrstufige Sicherheitsstrategie so wichtig ist. Eine einzige Schwachstelle kann ausgenutzt werden und zu dramatischen Folgeschäden führen. Entsprechend gut müssen Sicherheitsstrategien sein und die Wartung funktionieren.

von Anas Baig

Artikel teilen