Meldung

Vier Jahre WannaCry und kein bisschen müde

Vier Jahre ist es her, dass die WannaCry Ransomware Netzwerke rund um den Globus lahmgelegt hat – von ganzen Gesundheitssystemen bis hin zu Banken und nationalen Telekommunikationsunternehmen. Und auch heute noch wird die Angriffsform gezielt von Cyberkriminellen eingesetzt. So wurde sie auch während der Pandemie wieder verstärkt genutzt.
Die Ransomware WannaCry dreht noch immer ihre Runden.
Sicherheitsforscher verzeichneten einen Anstieg der WannaCry-Ransomware im März 2021 um 53 Prozent im Vergleich zum Januar dieses Jahres, während WannaCry im Januar mit 1240 Entdeckungen die am häufigsten verwendete Ransomware-Familie in Amerika war. Noch bemerkenswerter: Die neuesten Varianten, die von Hackern verwendet werden, enthalten keine Kill-Switch-URL mehr. Auf seinem Blog [1] geht Mimecast der Ransomware noch einmal auf den Grund und gibt Hinweise für Unternehmen.

Wie WannaCry funktioniert
Die WannaCry-Ransomware ist ein Krypto-Ransomware-Wurm, der Windows-PCs angreift. Es handelt sich um eine Form von Malware, die sich über Netzwerke von PC zu PC verbreiten (daher die "Wurm"-Komponente) und dann, sobald sie sich auf einem Computer befindet, wichtige Dateien verschlüsseln kann (der "Krypto"-Teil). Die Täter fordern Lösegeldzahlungen, damit sie diese Dateien wieder freigeben. Der Name wurde von Code-Strings abgeleitet, die in einigen der ersten Proben des Virus entdeckt wurden.

WannaCry wurde als "Studie über vermeidbare Katastrophen" bezeichnet, da Microsoft zwei Monate, bevor sich der Wurm 2017 erstmals weltweit ausbreitete, einen Patch veröffentlichte, der die Infektion von Computern durch den Wurm verhindert hätte. Leider wurden Hunderttausende von Systemen nicht rechtzeitig aktualisiert, und eine unbekannte Anzahl solcher Systeme ist bis heute anfällig.

Die Art und Weise, wie sich WannaCry verbreitet, nutzt Unternehmensnetzwerke, um auf andere Windows-Systeme zu springen. Anders als bei Phishing-Angriffen müssen Computeranwender nicht auf einen Link klicken oder eine infizierte Datei öffnen. WannaCry sucht einfach nach anderen anfälligen Systemen, in die es eindringen kann (zum Beispiel über gestohlene Anmeldeinformationen), kopiert dann das Programm und führt es aus – wieder und wieder und wieder. So kann ein einziger anfälliger Computer in einem Unternehmensnetzwerk eine ganze Organisation gefährden.

Ablauf eines Angriffs
Das WannaCry-Programm besteht aus mehreren Komponenten. Es gibt ein primäres Lieferprogramm, das andere Programme enthält, einschließlich Verschlüsselungs- und Entschlüsselungssoftware. Sobald WannaCry auf einem Computersystem ist, sucht es nach Dutzenden von spezifischen Dateitypen, einschließlich Microsoft Office-Dateien und Bild-, Video- und Sounddateien. Dann führt er eine Routine aus, um die Dateien zu verschlüsseln, die nur mit einem von außen gelieferten digitalen Schlüssel entschlüsselt werden können.

Die einzige Möglichkeit für einen infizierten Benutzer, auf die mit WannaCry verschlüsselten Dateien zuzugreifen, besteht über eine externe Sicherungskopie dieser Dateien. Während des ersten WannaCry-Angriffs bestand die einzige Möglichkeit für einige Opfer darin, das Bitcoin-Lösegeld zu bezahlen. Leider wurde berichtet, dass die Hacker den Opfern nach der Zahlung durch die Unternehmen keinen Zugriff auf ihre Dateien gewährten.

Auch der Lagebericht zur E-Mail-Sicherheit 2021 von Mimecast hat gezeigt, dass 2020 in Deutschland 14 Prozent der Unternehmen, die von einem Ransomware-Angriff betroffen waren, das Lösegeld zahlten, die Daten jedoch trotzdem nicht zurückerhalten haben.

Schutz vor Ransomware
Glücklicherweise gibt es Cybersecurity-Schritte, die jedes Unternehmen angehen kann, um einen WannaCry-Ransomware-Angriff zu verhindern:

  • Die neueste Software installieren: "Update" ist das Schlüsselwort in der Cybersicherheit. Die ursprüngliche globale WannaCry-Infektion hätte verhindert werden können, wenn Unternehmen und Privatpersonen ihre Windows-Software aktualisiert hätten. Die Sicherheitslücke, durch die sich WannaCry verbreiten konnte, wurde von Microsoft bereits zwei Monate zuvor gepatcht.
  • Backups durchführen: Es ist eine banale Aufgabe, aber eine notwendige, um kritische Daten zu schützen. Daher müssen Unternehmen eine Routine für das Sichern von Informationen einrichten. Darüber hinaus sollten Backups extern und vom Unternehmensnetzwerk getrennt gespeichert werden, etwa in einem Cloudservice, um sie vor Infektionen zu schützen.
  • Schulungen zum Bewusstsein für Cybersicherheit: Mitarbeiter müssen regelmäßig an gute E-Mail-Gewohnheiten erinnert werden, vor allem jetzt, wo viele von zuhause aus arbeiten. Sie sollten niemals unbekannte E-Mail-Anhänge öffnen und auch nicht auf verdächtige Links klicken.

Startschuss vor vier Jahren
Im Mai 2017 verbreitete WannaCry Panik in Unternehmensnetzwerken auf der ganzen Welt, als es schnell mehr als 200.000 Computer in 150 Ländern infizierte. Unter anderem wurde der Nationale Gesundheitsdienst Großbritanniens gestört, der spanische Telekommunikationsdienst Telefónica war bedroht und Banken in Russland wurden kompromittiert. Während der Virus scheinbar auf einmal auftauchte, verfolgten Forscher später frühere Versionen zu einer nordkoreanischen Organisation, die als Lazarus Group bekannt ist.

Es gab viele Hinweise, die im Code von WannaCry versteckt waren, aber niemand hat jemals die Verantwortung für das Erstellen oder Verbreiten des Programms übernommen. Ein Forscher entdeckte früh in der Cyberattacke, dass das Programm zunächst versuchte, auf eine bestimmte Webadresse zuzugreifen, die sich als unregistrierter Unsinnsname herausstellte. Wenn das Programm in der Lage war, die URL zu öffnen, konnte WannaCry nicht ausgeführt werden, es fungierte also als eine Art Kill Switch. Folglich registrierte der britische Forscher Marcus Hutchins die URL und verhinderte so effektiv die Ausbreitung der WannaCry-Ransomware.

Nichtsdestotrotz gab es in den folgenden Jahren immer wieder Wellen von WannaCry-Angriffen. Ein hochkarätiger Fall ereignete sich 2018 bei Boeing. Letztendlich verursachte er mehr Panik als tatsächlichen Schaden, aber die Produktivität des Flugzeugherstellers litt darunter.
7.05.2021/dr

Tipps & Tools

Studie: IT-Teams gehen gestärkt aus dem Pandemiejahr hervor [15.06.2021]

Sophos hat in einer Studie die Auswirkungen des vom Pandemiegeschehen dominierten Jahrs 2020 auf IT-Teams beleuchtet: Als Ergebnis haben deutlich gestiegene Anforderungen auch positive Konsequenzen. So hat eine Mehrheit der Befragten eine gestiegene Security-Kompetenz ihrer IT-Abteilung beobachtet und viele Entscheider berichten von einer höheren Team-Moral. [mehr]

Online-Training "Domaincontroller für Linux-Umgebungen mit FreeIPA" [14.06.2021]

Unser Training "Domaincontroller für Linux-Umgebungen mit FreeIPA" demonstriert praxisnah, wie sich Linux-Clients via Domaincontroller ähnlich komfortabel und unter ähnlich hohen Sicherheitsstandards verwalten lassen wie etwa das Active Directory. Dabei erhalten Sie zunächst eine Einführung in LDAP, Kerberos und X.509. Die Veranstaltung findet am 29. Juli 2021 online statt. Buchen Sie schnell, um sich noch einen Platz zu sichern – für Abonnenten gilt wie immer ein Sondertarif. [mehr]

Buchbesprechung

Noch analog oder lebst du schon?

von Rolf Drechsler und Jannis Stoppe

Anzeigen