Nachrichten, Gerüchte, Meldungen und Berichte aus der IT-Szene

Redaktion: Heinz Schmitz


WannaCry abhaken - irgendwie zumindest

WanaCry Bildschirm
Screenshot des WanaCry Bildschirms mit der Erpressernachricht. (Quelle: G Data)

Zunächst einmal steht außer Frage, dass WannaCry in mehrfacher Hinsicht ein bemerkenswerter Fall ist. Zwar bewegt sich die Zahl betroffener Rechner weltweit auf über 200.000, damit ist WannaCry aber bei weitem nicht der größte Malware-Ausbruch aller Zeiten. Was jedoch die Geschwindigkeit und Aggressitivät der Verbreitung angeht, kann WannaCry sich durchaus mit Schädlingen wie Sasser oder Blaster messen. Zum Vergleich: 2003 hat der "Blaster"-Wurm weltweit mehrere Millionen Rechnersysteme befallen.

 

WannaCry hat sich waldbrandartig auf der ganzen Welt verbreitet und innerhalb von 12 Stunden etwa 74.000 PCs infiziert. Einer der entscheidenden Faktoren, der zu der hohen Verbreitungsgeschwindigkeit wesentlich beigetragen hat, ist die Nutzung von Exploit-Code, der aus einigen geleakten Dokumenten des US-Geheimdienstes NSA stammen. Eine Sammlung solcher Exploits wurde im April von der Hacker-Gruppe "ShadowBrokers" öffentlich gemacht. Teil dieser Sammlung war ein Exploit namens “ETERNALBLUE”, der eine Sicherheitslücke im weit verbreiteten SMB-Protokoll ausnutzt. Das Protokoll wird in Microsoft Windows für die Datei- und Ordnerfreigabe genutzt.

 

Hier sehen wir eine Gemeinsamkeit zwischen Sasser und WannaCry, auch wenn die beiden ansonsten technisch nicht miteinander verwandt sind; es macht deutlich, dass die Nutzung von SMB-Sicherheitslücken keine Erfindung der Macher von WannaCry ist. Erschwerend kommt hinzu, dass Sasser zu einer Zeit zugeschlagen hat, zu der es noch keine automatischen Windows-Updates gab. So war auch damals bereits ein Patch für die zugrundeliegenden Sicherheitslücken verfügbar - da Benutzer diesen aber selbst herunterladen und installieren mussten, fehlte er auf vielen Systemen einfach. Wären die Updates damals bereits so automatisiert gewesen, wie es heute üblich ist, hätte Sasser weitaus weniger Auswirkungen gehabt als es schlussendlich der Fall war.

 

Ironischerweise war auch für die SMB-Sicherheitslücke, welche Teil der NSA-Werkzeugsammlung war, ein Patch verfügbar - schon im März. Microsoft war noch eher auf die Lücke aufmerksam geworden - der Ausfall des Februar-Patchdays war ein direktes Resultat daraus, welches den Entwicklern genug Zeit verschaffte, die Sicherheitslücke zu schließen. Systeme, die das März-Update installierte hatten, waren nicht durch die WannaCry-Angriffe gefährdet.

 

Unerwünschte Erbschaft - Legacy-Software und ungepatchte Systeme

Maschinen, auf denen das Update nicht installiert war, waren in ernsthafter Gefahr, infiziert zu werden. Das zwang einige Firmen zu drastischen Maßnahmen: in einigen Fällen wurden die Mitarbeiter gebeten, ihre Rechner sofort herunterzufahren und vorerst nicht zu benutzen, um eine Ausbreitung der Infektion zu verhindern.  Ungepatchte Maschinen waren jedoch nicht das einzige Problem an dieser Stelle: die Sicherheitslücke blieb auf alten, nicht mehr unterstützten Versionen von Microsoft Windows ungepatcht, wie auf Windows XP, Server 2003 oder Windows 8. Zumindest war das der Fall, bis Microsoft einen außergewöhnlichen Schritt unternahm und ein "Notfall-Update" für diese Versionen veröffentlichte. Schließlich sind Betriebssysteme wie Windows XP noch immer fester Bestandteil in einigen kritischen Bereichen wie Krankenhäusern. Dort sind teilweise sowohl XP-Maschinen im Einsatz, die medizinische Geräte kontrollieren, als auch solche, die im sonstigen Alltagsbetrieb Verwendung finden.  Dafür gibt es mehrere mögliche Gründe (siehe Text-Box). In Krankenhäusern ist ein Ransomware-Befall ein besonders großes Problem. Die britische Gesundheitsbehörde NHS sprach in diesem Zusammenhang von einem "schweren Zwischenfall". Ärzte und Pflegepersonal wurden praktisch über Nacht mehr als 20 Jahre in die Vergangenheit zurückgeworfen und mussten wieder auf Papier und Stift zurückgreifen, da die Computer in einigen Krankenhäusern nicht mehr nutzbar waren.

 

Der Zwischenfall hat viele Fragen aufgeworfen. Der überwältigende Erfolg der Infektionswelle hat allerdings vielen schmerzhaft klargemacht, dass es schwerwiegende Folgen haben kann, Updates nicht zu installieren - im ungünstigsten Fall macht man damit landesweit Schlagzeilen.

 

Eine Lektion in Demut (für die Angreifer)

Es scheint offentischtlich, dass die Macher von WannaCry vom Resultat ihrer Ransomware überwältigt waren. Falls sie geplant haben, die verschlüsselten Dateien tatsächlich zu entschlüsseln, haben sie keine ideale Wahl für das dahinter stehende System getroffen, mit dem Zahlungen nachgehalten und die Entschlüsselung angestoßen wird - beides erfordert manuelles Eingreifen auf Seiten der Angreifer. Das Ergebnis sind starke Verzögerungen, was alles andere als ideal für ein Geschäftsmodell ist, das darauf ausgelegt ist, möglichst viel Geld in möglichst wenig Zeit anzuhäufen. Bisher sind lediglich etwa 100.000 Dollar in Bitcoin-Zahlungen aufgetaucht, die sich bis zu den Bitcoin-Wallets der Angreifer zurückverfolgen lassen. Diese Summe ist gemessen an der Anzahl infizierter Maschinen überaus gering. Selbst, wenn nur 2,5 Prozent der WannaCry-Opfer zahlen sollten, wäre hier mindestens der fünfzehnfache Betrag zu erwarten.

 

Die Frage nach dem "Wer war's?" ist berüchtigt dafür, dass sie schwer zu beantworten ist. Es gibt Hinweise, die WannaCry in Verbindung mit einer APT-Gruppe bringen, die wiederum Verbindungen zur nordkoreanischen Regierung hat - für diese Aussagen haben wir jedoch bisher keinen schlagenden Beweis gesehen. So, wie es im Moment aussieht, hat eine Angreifergruppe Zugang zu einem sehr mächtigen Werkzeug bekommen, ohne sich jedoch über dessen Potenzial im Klaren zu sein. Ein passendes Bild ist vielleicht eine Person, die ein Rinnsal aus einem Gartenschlauch erwartet, aber dann feststellen muss, dass sie einer Hochdruckleitung der Feuerwehr gegenüber steht, die sie durch den Raum katapultiert.

 

Es ist noch nicht vorbei

Auch, wenn die größte Welle langsam abzuebben scheint, rollt die nächste bereits. Es gab Berichte über eine groß angelegte DDoS-Attacke gegen die Killswitch-Domain von WannaCry. Ziel dieser ist es, WannaCry "wiederzubeleben" und davon abzuhalten, dass infizierte Maschinen die Domain erreichen können. Kann WannaCry die Domain erreichen, hätte das zur Folge, dass die Schadsoftware sich selbst deaktiviert und ein System nicht mehr infiziert. Zudem sind noch mehr funktionsfähige Exploits aus Regierungs- und Geheimdienstkreisen geleakt und werden aktiv genutzt.

 

Siehe auch:

http://www.gdata.de/

Zurück