WannaCry

WannaCry-Angriff mit Ransomware ⓘ

Screenshot der Lösegeldforderung, die auf einem infizierten System hinterlassen wurde
Datum	12. Mai 2017 - 15. Mai 2017 (erster Ausbruch)
Dauer	4 Tage
Ort	Weltweit
Auch bekannt als	Verwandlungen: Wanna → Wana Kryptor → Krypt0r Cryptor → Decryptor Cryptor → Crypt → Cry Hinzufügung von "2.0" Kurznamen: Wanna → WN → W Cry → CRY
Typ	Cyberangriff
Thema	Ransomware, die Dateien mit einer Forderung von 300-600 USD verschlüsselt (über Bitcoin)
Ursache	WannaCry-Wurm
Ergebnis	200.000 Opfer Mehr als 300.000 Computer infiziert
Festnahmen	Keine
Verdächtige	Lazarus-Gruppe
Angeklagt	Zwei Nordkoreaner angeklagt
Verurteilungen	Keine

Der WannaCry-Ransomware-Angriff war ein weltweiter Cyberangriff im Mai 2017 durch den WannaCry-Ransomware-Kryptowurm, der auf Computer mit dem Microsoft Windows-Betriebssystem abzielte, indem er Daten verschlüsselte und Lösegeldzahlungen in der Kryptowährung Bitcoin forderte. Er verbreitete sich über EternalBlue, ein von der Nationalen Sicherheitsbehörde der Vereinigten Staaten (NSA) entwickeltes Exploit für ältere Windows-Systeme. EternalBlue wurde einen Monat vor dem Angriff von einer Gruppe namens The Shadow Brokers gestohlen und an die Öffentlichkeit gebracht. Microsoft hatte zwar bereits Patches veröffentlicht, um die Sicherheitslücke zu schließen, doch ein Großteil der Verbreitung von WannaCry ging auf Unternehmen zurück, die diese Patches nicht installiert hatten oder ältere Windows-Systeme verwendeten, deren Lebensdauer bereits abgelaufen war. Diese Patches waren für die Cybersicherheit der Unternehmen unerlässlich, aber viele wurden nicht implementiert, weil sie nicht wussten, wie wichtig sie sind. Als Gründe wurden die Notwendigkeit eines 24/7-Betriebs, die Abneigung gegen das Risiko, dass zuvor funktionierende Anwendungen aufgrund von Patch-Änderungen nicht mehr funktionieren, Personal- oder Zeitmangel für die Installation der Patches oder andere Gründe genannt. ⓘ

Der Angriff begann am 12. Mai 2017 um 07:44 Uhr UTC und wurde einige Stunden später um 15:03 Uhr UTC durch die Registrierung eines von Marcus Hutchins entdeckten Kill Switches gestoppt. Der Kill Switch verhinderte, dass bereits infizierte Computer verschlüsselt wurden oder WannaCry sich weiter verbreitete. Der Angriff betraf schätzungsweise mehr als 200.000 Computer in 150 Ländern, wobei der Gesamtschaden zwischen Hunderten von Millionen und Milliarden von Dollar lag. Sicherheitsexperten gingen nach einer ersten Auswertung des Wurms davon aus, dass der Angriff von Nordkorea oder von Agenturen ausging, die für dieses Land arbeiten. ⓘ

Im Dezember 2017 erklärten die Vereinigten Staaten und das Vereinigte Königreich offiziell, dass Nordkorea hinter dem Angriff steckte. ⓘ

Eine neue Variante von WannaCry zwang die Taiwan Semiconductor Manufacturing Company (TSMC) im August 2018, mehrere ihrer Chipfabriken vorübergehend stillzulegen. Der Virus verbreitete sich auf 10.000 Maschinen in den modernsten Anlagen von TSMC. ⓘ

WannaCry, auch bekannt als Wcrypt, WCRY, WannaCrypt oder Wana Decrypt0r 2.0, ist ein Schadprogramm für Windows, das im Mai 2017 für einen schwerwiegenden Cyberangriff genutzt wurde. WannaCry befällt Windows-Betriebssysteme, die nicht mit einem bestimmten, seit März 2017 von Microsoft angebotenen Patch nachgebessert wurden. ⓘ

Nach Befall eines Computers verschlüsselt das Schadprogramm bestimmte Benutzerdateien des Rechners und fordert als Ransomware den Nutzer auf, Bitcoins im Wert von etwa 300 US-Dollar zu zahlen, nach ungenutztem Ablauf einer Frist droht das Programm mit Datenverlust. Außerdem versucht der Netzwerkwurm weitere Windows-Rechner zu infizieren, und installiert die schon länger bekannte Backdoor DoublePulsar. ⓘ

Beschreibung

WannaCry ist ein Ransomware-Kryptowurm, der auf Computer mit dem Microsoft Windows-Betriebssystem abzielt, indem er Daten verschlüsselt (sperrt) und Lösegeldzahlungen in der Kryptowährung Bitcoin fordert. Der Wurm ist auch unter den Namen WannaCrypt, Wana Decrypt0r 2.0, WanaCrypt0r 2.0 und Wanna Decryptor bekannt. Er gilt als Netzwerkwurm, da er auch einen Transportmechanismus enthält, um sich automatisch zu verbreiten. Dieser Transportcode sucht nach anfälligen Systemen und verwendet dann das EternalBlue-Exploit, um sich Zugang zu verschaffen, sowie das Tool DoublePulsar, um eine Kopie von sich selbst zu installieren und auszuführen. Die WannaCry-Versionen 0, 1 und 2 wurden mit Microsoft Visual C++ 6.0 erstellt. ⓘ

EternalBlue ist ein Exploit für Microsofts Implementierung des Server Message Block (SMB)-Protokolls, das von den Shadow Brokers veröffentlicht wurde. Ein Großteil der Aufmerksamkeit und der Kommentare rund um das Ereignis wurde durch die Tatsache ausgelöst, dass die Nationale Sicherheitsbehörde der USA (NSA) (von der der Exploit wahrscheinlich gestohlen wurde) die Sicherheitslücke bereits entdeckt hatte, sie aber zur Erstellung eines Exploits für ihre eigene offensive Arbeit nutzte, anstatt sie an Microsoft zu melden. Microsoft entdeckte die Schwachstelle schließlich und veröffentlichte am Dienstag, den 14. März 2017, das Sicherheitsbulletin MS17-010, in dem die Schwachstelle detailliert beschrieben und angekündigt wurde, dass Patches für alle Windows-Versionen veröffentlicht wurden, die zu diesem Zeitpunkt unterstützt wurden, d. h. Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 und Windows Server 2016. ⓘ

DoublePulsar ist ein Backdoor-Tool, das ebenfalls von The Shadow Brokers am 14. April 2017 veröffentlicht wurde. Ab dem 21. April 2017 berichteten Sicherheitsforscher, dass auf Zehntausenden von Computern die DoublePulsar-Backdoor installiert war. Bis zum 25. April wurde die Zahl der infizierten Computer auf mehrere Hunderttausend geschätzt, wobei die Zahl täglich anstieg. Der WannaCry-Code kann sich eine vorhandene DoublePulsar-Infektion zunutze machen oder sie selbst installieren. Am 9. Mai 2017 veröffentlichte das private Cybersicherheitsunternehmen RiskSense Code auf GitHub mit dem erklärten Ziel, legalen White Hat Penetrationstestern zu ermöglichen, den CVE-2017-0144 Exploit auf ungepatchten Systemen zu testen. ⓘ

Bei der Ausführung prüft die WannaCry-Malware zunächst den Kill-Switch-Domainnamen; wird dieser nicht gefunden, verschlüsselt die Ransomware die Daten des Computers und versucht dann, die SMB-Schwachstelle auszunutzen, um sich auf beliebige Computer im Internet und seitlich auf Computer im selben Netzwerk auszubreiten. Wie bei anderer moderner Ransomware zeigt die Nutzlast eine Nachricht an, die den Benutzer darüber informiert, dass seine Dateien verschlüsselt wurden, und fordert eine Zahlung von etwa 300 US-Dollar in Bitcoin innerhalb von drei Tagen oder 600 US-Dollar innerhalb von sieben Tagen mit der Warnung, dass "Sie nicht genug Zeit haben. [sic]" Drei fest kodierte Bitcoin-Adressen oder Wallets werden verwendet, um die Zahlungen der Opfer entgegenzunehmen. Wie bei allen derartigen Wallets sind ihre Transaktionen und Salden öffentlich zugänglich, auch wenn die Besitzer der Kryptowährungs-Wallets unbekannt bleiben. ⓘ

Mehrere Organisationen haben detaillierte technische Beschreibungen der Malware veröffentlicht, darunter ein leitender Sicherheitsanalyst von RiskSense, Microsoft, Cisco, Malwarebytes, Symantec und McAfee. ⓘ

Angriff

Der Angriff begann am Freitag, dem 12. Mai 2017, und es gibt Hinweise darauf, dass die erste Infektion um 07:44 Uhr UTC in Asien stattfand. Die erste Infektion erfolgte wahrscheinlich über einen ungeschützten anfälligen SMB-Port und nicht, wie zunächst angenommen, durch E-Mail-Phishing. Innerhalb eines Tages wurde berichtet, dass der Code mehr als 230.000 Computer in über 150 Ländern infiziert hat. ⓘ

Organisationen, die das Microsoft-Sicherheitsupdate vom März nicht installiert hatten, waren von dem Angriff betroffen. Diejenigen, die noch nicht unterstützte Versionen von Microsoft Windows wie Windows XP und Windows Server 2003 verwendeten, waren besonders gefährdet, da seit Mai 2014 für Windows XP und seit Juli 2015 für Windows Server 2003 keine Sicherheits-Patches mehr veröffentlicht worden waren. Laut einer Studie von Kaspersky Lab liefen jedoch weniger als 0,1 Prozent der betroffenen Computer unter Windows XP und 98 Prozent der betroffenen Computer unter Windows 7. In einer kontrollierten Testumgebung stellte das Cybersicherheitsunternehmen Kryptos Logic fest, dass es nicht in der Lage war, ein Windows-XP-System allein mit den Exploits mit WannaCry zu infizieren, da die Nutzlast nicht geladen wurde oder das Betriebssystem zum Absturz brachte, anstatt Dateien tatsächlich auszuführen und zu verschlüsseln. Bei manueller Ausführung konnte WannaCry jedoch weiterhin unter Windows XP ausgeführt werden. ⓘ

Defensive Reaktion

Experten rieten betroffenen Nutzern schnell davon ab, das Lösegeld zu zahlen, da es keine Berichte darüber gab, dass die Betroffenen ihre Daten nach der Zahlung zurückerhielten, und da hohe Einnahmen weitere derartige Kampagnen fördern würden. Bis zum 14. Juni 2017, nachdem der Angriff abgeklungen war, waren insgesamt 327 Zahlungen in Höhe von 130.634,77 US-Dollar (51,62396539 XBT) überwiesen worden. ⓘ

Am Tag nach dem ersten Angriff im Mai veröffentlichte Microsoft Out-of-Band-Sicherheitsupdates für die End-of-Life-Produkte Windows XP, Windows Server 2003 und Windows 8; diese Patches waren im Februar desselben Jahres nach einem Hinweis auf die Sicherheitslücke im Januar desselben Jahres erstellt worden. Den Unternehmen wurde empfohlen, Windows zu patchen und die Sicherheitslücke zu schließen, um sich vor dem Cyberangriff zu schützen. Die Leiterin des Cyber Defense Operations Center von Microsoft, Adrienne Hall, sagte: "Aufgrund des erhöhten Risikos für zerstörerische Cyberangriffe haben wir uns zu dieser Maßnahme entschlossen, weil die Anwendung dieser Updates einen weiteren Schutz gegen potenzielle Angriffe mit ähnlichen Merkmalen wie WannaCrypt [alternativer Name zu WannaCry] bietet. ⓘ

Der Forscher Marcus Hutchins entdeckte die in der Malware fest kodierte Kill-Switch-Domäne. Die Registrierung eines Domänennamens für ein DNS-Sinkhole verhinderte, dass sich der Angriff als Wurm ausbreitete, da die Ransomware die Dateien des Computers nur dann verschlüsselte, wenn sie keine Verbindung zu dieser Domäne herstellen konnte, was bei allen Computern, die vor der Registrierung der Website mit WannaCry infiziert waren, nicht möglich war. Dies half zwar den bereits infizierten Systemen nicht, verlangsamte aber die Ausbreitung der ersten Infektion erheblich und verschaffte Zeit, um weltweit Abwehrmaßnahmen zu ergreifen, insbesondere in Nordamerika und Asien, die nicht in demselben Ausmaß angegriffen worden waren wie andere Länder. Am 14. Mai erschien eine erste Variante von WannaCry mit einem neuen und zweiten Kill-Switch, der von Matt Suiche am selben Tag registriert wurde. Am 15. Mai folgte eine zweite Variante mit dem dritten und letzten Kill-Switch, der von den Bedrohungsanalysten von Check Point registriert wurde. Einige Tage später wurde eine neue Version von WannaCry entdeckt, bei der der Kill-Switch gänzlich fehlte. ⓘ

Am 19. Mai wurde berichtet, dass Hacker versuchten, eine Mirai-Botnet-Variante zu nutzen, um einen verteilten Denial-of-Service-Angriff auf die Kill-Switch-Domäne von WannaCry durchzuführen, um sie offline zu schalten. Am 22. Mai schützte Hutchins die Domain, indem er auf eine im Cache gespeicherte Version der Website umschaltete, die in der Lage ist, eine viel höhere Verkehrslast zu bewältigen als die Live-Site. ⓘ

Unabhängig davon berichteten Forscher des University College London und der Boston University, dass ihr PayBreak-System WannaCry und mehrere andere Ransomware-Familien besiegen kann, indem es die zur Verschlüsselung der Nutzerdaten verwendeten Schlüssel wiederherstellt. ⓘ

Es wurde entdeckt, dass die von WannaCry verwendeten Windows-Verschlüsselungs-APIs die Primzahlen, die zur Generierung der privaten Schlüssel der Nutzdaten verwendet werden, möglicherweise nicht vollständig aus dem Speicher löschen, so dass es potenziell möglich ist, den erforderlichen Schlüssel wiederherzustellen, wenn er noch nicht überschrieben oder aus dem residenten Speicher gelöscht wurde. Der Schlüssel bleibt im Speicher erhalten, wenn der WannaCry-Prozess nicht beendet und der Computer nach der Infizierung nicht neu gestartet wurde. Dieses Verhalten nutzte ein französischer Forscher, um ein Tool namens WannaKey zu entwickeln, das diesen Prozess auf Windows XP-Systemen automatisiert. Dieser Ansatz wurde von einem zweiten Tool namens Wanakiwi weiterverfolgt, das auch auf Windows 7 und Server 2008 R2 getestet wurde. ⓘ

Innerhalb von vier Tagen nach dem ersten Ausbruch waren die Neuinfektionen dank dieser Maßnahmen auf ein Rinnsal geschrumpft. ⓘ

Zuweisung

Eine linguistische Analyse der Lösegeldforderungen ergab, dass die Verfasser wahrscheinlich fließend Chinesisch und Englisch sprachen, da die Versionen der Forderungen in diesen Sprachen wahrscheinlich von Menschen geschrieben wurden, während der Rest maschinell übersetzt zu sein schien. Einer Analyse des Cyber Behavioral Analysis Center des FBI zufolge waren auf dem Computer, auf dem die Ransomware-Sprachdateien erstellt wurden, Hangul-Schriftarten installiert, was durch das Vorhandensein des Rich Text Format-Tags "\fcharset129" belegt wird. Die Metadaten in den Sprachdateien wiesen auch darauf hin, dass die Computer, auf denen die Ransomware erstellt wurde, auf UTC+09:00 eingestellt waren, was in Korea üblich ist. ⓘ

Ein Sicherheitsforscher postete zunächst einen Tweet, in dem er auf Code-Ähnlichkeiten zwischen WannaCry und früherer Malware hinwies. Die Cybersicherheitsunternehmen Kaspersky Lab und Symantec haben beide erklärt, dass der Code Ähnlichkeiten mit dem Code aufweist, der zuvor von der Lazarus Group verwendet wurde (die für den Cyberangriff auf Sony Pictures im Jahr 2014 und einen Bankraub in Bangladesch im Jahr 2016 verantwortlich gemacht wird und mit Nordkorea in Verbindung steht). Es könnte sich auch um eine einfache Wiederverwendung von Code durch eine andere Gruppe handeln oder um einen Versuch, die Schuld abzuschieben - wie bei einer Operation unter falscher Flagge im Internet. Brad Smith, der Präsident von Microsoft, sagte, er glaube, dass Nordkorea der Urheber des WannaCry-Angriffs sei, und das britische National Cyber Security Centre kam zu demselben Schluss. ⓘ

Am 18. Dezember 2017 gab die Regierung der Vereinigten Staaten offiziell bekannt, dass sie Nordkorea für den Hauptverursacher des WannaCry-Angriffs hält. Der damalige Berater für Heimatschutz von Präsident Trump, Tom Bossert, schrieb einen Kommentar im Wall Street Journal zu dieser Anschuldigung und erklärte: "Wir machen diese Anschuldigung nicht leichtfertig. Sie stützt sich auf Beweise. In einer Pressekonferenz am darauffolgenden Tag sagte Bossert, dass die Beweise darauf hindeuten, dass Kim Jong-un den Befehl zum Start des Malware-Angriffs gegeben habe. Bossert sagte, dass Kanada, Neuseeland und Japan mit der Einschätzung der Vereinigten Staaten über die Beweise, die den Angriff mit Nordkorea in Verbindung bringen, übereinstimmen, während das britische Außenministerium (Foreign and Commonwealth Office) sagt, dass es ebenfalls hinter der Behauptung der Vereinigten Staaten steht. ⓘ

Nordkorea bestritt jedoch, für den Cyberangriff verantwortlich zu sein. ⓘ

Am 6. September 2018 kündigte das US-Justizministerium (DoJ) förmliche Anklagen gegen Park Jin-hyok wegen seiner Beteiligung am Sony-Pictures-Hack von 2014 an. Das Justizministerium behauptete, dass Park ein nordkoreanischer Hacker war, der als Teil eines Expertenteams für das North Korean Reconnaissance General Bureau arbeitete. Das Justizministerium behauptete, dass dieses Team unter anderem auch an der WannaCry-Attacke beteiligt gewesen sei. ⓘ

Auswirkungen

Karte der ursprünglich betroffenen Länder ⓘ

Die Ransomware-Kampagne hatte nach Angaben von Europol ein noch nie dagewesenes Ausmaß. Europol schätzt, dass rund 200.000 Computer in 150 Ländern infiziert wurden. Nach Angaben von Kaspersky Lab waren die vier am stärksten betroffenen Länder Russland, die Ukraine, Indien und Taiwan. ⓘ

Eine der größten Einrichtungen, die von dem Angriff betroffen waren, waren die Krankenhäuser des Nationalen Gesundheitsdienstes (NHS) in England und Schottland. Bis zu 70.000 Geräte - darunter Computer, Kernspintomographen, Kühlschränke zur Blutaufbewahrung und OP-Ausrüstung - könnten betroffen gewesen sein. Am 12. Mai mussten einige NHS-Dienste nicht kritische Notfälle abweisen, und einige Krankenwagen wurden umgeleitet. Im Jahr 2016 wurde berichtet, dass auf Tausenden von Computern in 42 verschiedenen NHS-Trusts in England noch Windows XP lief. Im Jahr 2018 kam ein Bericht von Parlamentsabgeordneten zu dem Schluss, dass alle 200 NHS-Krankenhäuser oder andere Organisationen, die nach dem WannaCry-Angriff überprüft wurden, noch immer keine Cybersicherheitsprüfungen bestanden. NHS-Krankenhäuser in Wales und Nordirland waren von dem Angriff nicht betroffen. ⓘ

Nissan Motor Manufacturing UK in Tyne and Wear, England, stoppte die Produktion, nachdem die Ransomware einige seiner Systeme infiziert hatte. Auch Renault stoppte die Produktion an mehreren Standorten, um die Ausbreitung der Ransomware zu stoppen. Die spanische Telefónica, FedEx und die Deutsche Bahn waren ebenso betroffen wie viele andere Länder und Unternehmen weltweit. ⓘ

Die Auswirkungen des Angriffs sollen im Vergleich zu anderen potenziellen Angriffen derselben Art relativ gering sein und hätten weitaus schlimmer ausfallen können, wenn Hutchins nicht entdeckt hätte, dass die Urheber der Ransomware einen Kill-Switch eingebaut hatten, oder wenn die Ransomware speziell auf hochkritische Infrastrukturen wie Kernkraftwerke, Staudämme oder Eisenbahnsysteme abgezielt hätte. ⓘ

Nach Angaben des auf Cyber-Risikomodellierung spezialisierten Unternehmens Cyence könnte der wirtschaftliche Schaden des Cyberangriffs bis zu 4 Milliarden US-Dollar betragen, andere Gruppen schätzen die Verluste auf mehrere hundert Millionen. ⓘ

Bei der Deutschen Bahn wurden rund 450 Rechner infiziert und führten unter anderem zum Ausfall von Anzeigetafeln an vielen Bahnhöfen, von Videoüberwachungssystemen und einer regionalen Leitstelle in Hannover. ⓘ

In China konnten Kunden an mehr als 20.000 Tankstellen nur noch in bar bezahlen. ⓘ

Betroffene Organisationen

Im Folgenden finden Sie eine alphabetische Liste der Organisationen, die nachweislich betroffen waren:

Reaktionen

Eine Reihe von Experten wies darauf hin, dass die NSA die zugrundeliegende Sicherheitslücke nicht offengelegt und die Kontrolle über das EternalBlue-Angriffstool verloren hat, mit dem diese ausgenutzt wurde. Edward Snowden sagte, wenn die NSA "die Schwachstelle, die für den Angriff auf Krankenhäuser verwendet wurde, privat offengelegt hätte, als sie sie fand und nicht als sie sie verlor, wäre der Angriff vielleicht nicht erfolgt". Der britische Cybersicherheitsexperte Graham Cluley sieht ebenfalls "eine gewisse Schuld bei den US-Geheimdiensten". Ihm und anderen zufolge "hätten sie schon vor langer Zeit etwas tun können, um dieses Problem zu beheben, und sie haben es nicht getan". Er sagte auch, dass die US-Geheimdienste trotz der offensichtlichen Verwendungsmöglichkeiten solcher Instrumente zum Ausspionieren von Personen, die für sie von Interesse sind, die Pflicht hätten, die Bürger ihrer Länder zu schützen. Andere kommentierten, dass dieser Angriff zeige, dass die Praxis der Geheimdienste, Exploits für offensive Zwecke zu horten, anstatt sie für defensive Zwecke offenzulegen, problematisch sein könnte. Brad Smith, Präsident und Leiter der Rechtsabteilung von Microsoft, schrieb: "Wiederholt sind Exploits, die sich in den Händen von Regierungen befanden, an die Öffentlichkeit gelangt und haben großen Schaden angerichtet. Ein vergleichbares Szenario mit konventionellen Waffen wäre, wenn dem US-Militär einige seiner Tomahawk-Raketen gestohlen würden". Der russische Präsident Wladimir Putin gab den US-Geheimdiensten die Verantwortung für den Angriff, da sie EternalBlue entwickelt hätten. ⓘ

Am 17. Mai 2017 brachten überparteiliche Gesetzgeber in den Vereinigten Staaten den PATCH Act ein, der darauf abzielt, Exploits von einem unabhängigen Gremium überprüfen zu lassen, um "die Notwendigkeit der Offenlegung von Sicherheitslücken mit anderen nationalen Sicherheitsinteressen in Einklang zu bringen und gleichzeitig die Transparenz und Rechenschaftspflicht zu erhöhen, um das öffentliche Vertrauen in den Prozess zu erhalten". ⓘ

Am 15. Juni 2017 sollte der Kongress der Vereinigten Staaten eine Anhörung zu dem Angriff abhalten. Zwei Unterausschüsse des Wissenschaftsausschusses des Repräsentantenhauses sollten die Aussagen verschiedener Personen aus dem Regierungs- und Nichtregierungssektor darüber hören, wie die USA die Schutzmechanismen für ihre Systeme gegen ähnliche Angriffe in Zukunft verbessern können. ⓘ

Marcus Hutchins, ein Cybersicherheitsforscher, der in loser Zusammenarbeit mit dem National Cyber Security Centre des Vereinigten Königreichs arbeitet, untersuchte die Schadsoftware und entdeckte einen "Kill Switch". Später arbeiteten weltweit verstreute Sicherheitsforscher online zusammen, um Open-Source-Tools zu entwickeln, die unter bestimmten Umständen eine Entschlüsselung ohne Bezahlung ermöglichen. Snowden stellt fest, dass bei "NSA-fähiger Ransomware, die das Internet auffrisst, die Hilfe von Forschern und nicht von Spionageagenturen kommt" und fragt, warum dies der Fall ist. ⓘ

Adam Segal, Direktor des Programms für Digital- und Cyberspace-Politik beim Council on Foreign Relations, erklärte, dass "die Patching- und Update-Systeme im privaten Sektor und in den Regierungsbehörden im Grunde kaputt sind". Darüber hinaus sagte Segal, dass die offensichtliche Unfähigkeit der Regierungen, Sicherheitslücken zu schließen, "viele Fragen über Hintertüren und den Zugang zu Verschlüsselungen aufwirft, die die Regierung nach eigener Aussage aus Sicherheitsgründen vom privaten Sektor benötigt". Arne Schönbohm, Präsident des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI), erklärte, dass "die aktuellen Angriffe zeigen, wie verwundbar unsere digitale Gesellschaft ist. Sie sind ein Weckruf für Unternehmen, IT-Sicherheit endlich ernst zu nehmen". ⓘ

Vereinigtes Königreich

In Großbritannien wurden die Auswirkungen des Angriffs auf den Nationalen Gesundheitsdienst (NHS) schnell zum Politikum, da behauptet wurde, dass die Auswirkungen durch die Unterfinanzierung des NHS durch die Regierung noch verschlimmert wurden. Insbesondere stellte der NHS seinen bezahlten kundenspezifischen Support ein, um weiterhin Unterstützung für nicht unterstützte Microsoft-Software, die innerhalb der Organisation verwendet wird, einschließlich Windows XP, zu erhalten. Innenministerin Amber Rudd weigerte sich zu sagen, ob Patientendaten gesichert wurden, und der Schattengesundheitsminister Jon Ashworth beschuldigte Gesundheitsminister Jeremy Hunt, sich zu weigern, auf eine kritische Mitteilung von Microsoft, dem National Cyber Security Centre (NCSC) und der National Crime Agency zu reagieren, die zwei Monate zuvor eingegangen war. ⓘ

Andere argumentierten, dass Hard- und Softwarehersteller oft nicht auf künftige Sicherheitslücken vorbereitet sind und Systeme verkaufen, die aufgrund ihrer technischen Konstruktion und der Marktanreize nicht in der Lage sind, Patches ordnungsgemäß zu empfangen und anzuwenden. ⓘ

Der NHS leugnete, dass er immer noch XP verwendet, und behauptete, dass nur 4,7 % der Geräte innerhalb der Organisation mit Windows XP arbeiten. Die Kosten des Angriffs für den NHS wurden auf 92 Millionen Pfund für die Unterbrechung von Diensten und IT-Upgrades geschätzt. ⓘ

Nach dem Angriff weigerte sich NHS Digital, die geschätzte Summe von 1 Milliarde Pfund zu finanzieren, um den Cyber Essentials Plus-Standard zu erfüllen, eine vom britischen NCSC organisierte Zertifizierung der Informationssicherheit, mit der Begründung, dass dies kein "gutes Preis-Leistungs-Verhältnis" darstelle, und dass es über 60 Millionen Pfund investiert habe und plane, "in den nächsten zwei Jahren weitere 150 [Millionen] Pfund auszugeben", um die wichtigsten Schwachstellen der Cybersicherheit zu beheben. ⓘ

Cyberangriff im Mai 2017

Hemmung der Ausbreitung

Bereits am 12. Mai entdeckten Sicherheitsforscher bei ihren Analysen durch Zufall eine Art „Notausschalter“ (kill switch), der eine weitere Infektion eindämmte. Die Forscher fanden im Code der Schadsoftware einen Hinweis auf eine zu dem Zeitpunkt nicht registrierte Domain. Einer der Forscher, Marcus Hutchins, registrierte die Domain, weil er sich davon weitere Erkenntnisse über den Kryptotrojaner versprach. Auf einem unter dieser Adresse betriebenen Server verzeichnete er sofort tausende Verbindungsversuche. Als das Schadprogramm auf diese Domain zugreifen konnte, stoppte es seine Weiterverbreitung. ⓘ

Spätere Varianten von WannaCry, die nicht mehr auf diesen Notausschalter reagierten, verbreiteten sich deutlich schwächer. Dies wurde darauf zurückgeführt, dass viele potentiell betroffene Computer zwischenzeitlich mit den bereitgestellten Sicherheitsupdates versorgt wurden. ⓘ

Schadwirkung

Während der initialen Ausbreitung verschafft WannaCry dem gerade aktiven Windows-Konto Administratorrechte, blendet auch als versteckt markierte Dateien ein und verschlüsselt etwa 100 verschiedene Dateitypen von Dokument-, Bild-, Video- oder Audioformaten, welche auf der internen Festplatte, einem Netzlaufwerk oder einem anderen angeschlossenen Speichermedium mit Laufwerksbuchstaben gefunden werden, mit einem 2048-Bit-RSA-Schlüssel. Die verschlüsselten Dateien erhalten die Dateiendung .WNCRY. Um eine Wiederherstellung mit automatischen Backups, sogenannte Schattenkopien, zu verhindern löscht WannaCry diese zusätzlich mit dem Windows Systemwerkzeug vssadmin. Danach fordert die Ransomware einen bestimmten fallweise unterschiedlichen Betrag in der Kryptowährung Bitcoin, der binnen einer Frist von wenigen Tagen gezahlt werden soll, um die Dateien zu entschlüsseln. Nach ungenutztem Ablauf der Frist droht das Programm außerdem mit Datenlöschung. Außerdem können RDP-Verbindungen (für die Fernsteuerung des PCs) missbraucht werden. ⓘ

Zahlung von Lösegeld

Der Sperrbildschirm mit der Erpressermeldung ⓘ

Der Programmcode von WannaCry sieht vor, für jeden befallenen Computer eine individuelle Bitcoin-Adresse zu generieren. Damit können eingegangene Lösegelder dem Rechner zugeordnet und die Entschlüsselungscodes an die Opfer übermittelt werden. Aufgrund eines sogenannten „kritischen Wettlauffehlers“ versagt jedoch die Erzeugung individueller Bitcoin-Adressen, stattdessen findet ein Rückgriff auf eine von drei festen Bitcoin-Adressen statt. Es ist dann davon auszugehen, dass die Täter nicht erkennen können, ob für einen bestimmten gekaperten Computer das Lösegeld entrichtet wurde. Die Sicherheitsfirma Symantec geht deshalb davon aus, dass Lösegeldzahlungen nicht zum Erfolg führen. Nach anderen Angaben hingegen führten einige Zahlungen zur Entschlüsselung, nachdem sie manuell ausgehandelt wurden. Bei späteren Varianten der Malware, die aber geringe Ausbreitung erreichten, wurde der Programmfehler behoben. ⓘ

Schutzmaßnahmen

Neben dem Einspielen der aktuellen Sicherheitsupdates wird der Einsatz aktueller Antivirenprogramme empfohlen. Allerdings blockieren einige Antivirenprogramme den Zugriff auf die KillSwitch-Domain, die die ursprüngliche Variante des Schädlings an der Verbreitung hinderte, weil sie den erhöhten Datenverkehr mit ihr für verdächtig halten. Das erwies sich als kontraproduktiv, da das Schadprogramm dann wegen unterbleibender Aktivierung des Notausschalters versuchte, sich weiterzuverbreiten. ⓘ

Außerdem können mithilfe der Firewall die eingehenden Signale für TCP-Ports 445/139/137 und die UDP-Ports 137 und 138 (alle fünf werden durch SMB benutzt) gesperrt werden, sowie ein- und ausgehende Verbindungen des TCP-Port 3389 (RDP) geschlossen werden. Ein Eindringen der derzeit häufigsten Variante des Schädlings wird damit verhindert. Dies schützt die darauf aufbauenden Dienste dauerhaft vor Angriffen von außen. ⓘ

Neu freigesetzte Varianten des Schadprogramms wie auch ganz andere Angreifer können allerdings andere Lücken und Ports zum Eindringen und zur Verbreitung nutzen. Daher ist laut Einschätzung der Fachpresse eine Reihe weiterer Maßnahmen sinnvoll: SMB und die Dateifreigabe können ganz deaktiviert werden. Dateien mit unpassender oder mehrfacher Dateiendung oder sonst wie verdächtige Dateianhänge in Mails – selbst von bekannten Absendern – sollten nicht geöffnet werden, weil deren Rechner ohne Wissen der Absender bereits kompromittiert sein könnte. Microsoft Office und ähnliche Programme sollten keine Makros ausführen dürfen und Programme, die nicht vertrauenswürdig erscheinen, sollten nicht gestartet werden. Um den Schaden im Falle einer Infektion so gering wie möglich zu halten, empfehlen die Autoren darüber hinaus, regelmäßige Datensicherungen durchzuführen und die Backup-Medien nach dem Backup vom System abzutrennen, damit sie nicht ihrerseits infiziert werden. ⓘ

Trivia

Kurz nach dem Erscheinen von WannaCry entdeckten Sicherheitsforscher eine neue Schadsoftware namens EternalRocks, welche sich als WannaCry auszugeben versuchte. Hinter der versuchten Täuschung steckte vermutlich die Absicht, vor Sicherheitsforschern unentdeckt zu bleiben. ⓘ

Im Mai 2017 wurde bekannt, dass auch die Software Samba, welche Windows-Funktionen wie die Datei- und Druckdienste auf verschiedenen Betriebssystem wie Linux zur Verfügung stellt, von einer ähnlichen Schwachstelle wie Windows-Systeme betroffen ist. In Anlehnung wird diese als SambaCry bezeichnet. Die injizierten Schadprogramme führen auf befallenen Systemen wie beispielsweise NAS-Systemen ein Mining für die Kryptowährung Monero aus. ⓘ