WannaCryptor aka WannaCry ist in die Cyber Security Geschichte 2017 eingegangen. Wir können sogar soweit gehen und sagen, dass es eines der größten Themen der letzten Jahre war. Rundfunkveranstalter, Journalisten, Blogger, Kommentatoren, Experten und Virenschutz-Hersteller schenk(t)en WannaCryptor / WannaCry eine nie dagewesene Aufmerksamkeit.
Obwohl wir das nur begrüßen können, kann es zeitweilig zum Informationsüberfluss kommen. In Anbetracht dessen, haben wir Fragen und Antworten zu den wichtigsten Punkten zusammengestellt. Diese erläutern alle wichtigen Gedanken, ohne sich ganz in Einzelheiten zu verlieren. Dafür verweisen die vielen Links auf weiterführende Quellen.
Was ist WannaCryptor aka WannaCry?
WannaCryptor / WannaCry und seine Varianten stellen eine Art bösartige Software, besser bekannt als Ransomware, dar. Die Malware ist eine bei Cyber-Kriminellen mittlerweile beliebte Angriffsmethode, welche Dateien und Geräte von Opfern (illegal) verschlüsselt. Für die Wiederherstellung des Ausgangszustands der betroffenen Geräte wird ein Lösegeld gefordert.
Laut Michael Aguilar, einem Business Security Specialist bei ESET, ist WannaCryptor, auch bekannt als WannaCry und Wcrypt, "anders als die meisten Verschlüsselungstrojaner: WannaCry besitzt die Fähigkeit, sich selbst zu verbreiten.“ Das kennen wir sonst nur von Computerwürmern. In seinem Beitrag bietet er einige Tipps, wie man sich vor WannaCryptor am besten schützt. ESET-Clients sind bereits durch das Netzwerkschutzmodul von ESET abgesichert.
Die Ransomware-Nachricht, die auf den Bildschirmen von kompromittierten Computern auftritt, kann je nach Standort in mehreren Sprachen ausgegeben werden. In englischer Sprache heißt es: "Ooops, Ihre Dateien wurden verschlüsselt!" Die Entwickler der Malware fügten hinzu, dass es sinnlos sei, nach einem anderen Weg zu suchen, um wieder an seine Dateien zu gelangen (allerdings könnten sie das wirklich versuchen). Natürlich verlangen die Cyber-Kriminellen ein Lösegeld in Höhe von 300 US-Dollar pro kompromittierten Gerät.
Was war passiert?
In Großbritannien berichteten die Medien am Freitag über mehrere Cyber-Angriffe auf NHS-Sites. Mitarbeiter des Gesundheitswesens, Ärzte und Krankenhäuser konnten nicht mehr auf wichtige Dateien auf ihren Computern zugreifen – tatsächlich kamen Teile des NHS zum Erliegen.
Allerdings ist unklar, welche Auswirkungen auf Vorsichtsmaßnahmen wie beispielsweise das Herunterfahren von Servern oder die Isolierung von Systemen im Vergleich zur eigentlichen Verschlüsselung zurückzuführen sind.
NHS Digital, welches der informationstechnologische Arm der Abteilung für Gesundheit ist, gab schnell eine Erklärung ab.
Man stellte fest: "Dieser Angriff ... betrifft eine Reihe von Organisationen unterschiedlicher Sektoren. Zurzeit haben wir keine Hinweise darauf, dass auf Patientendaten zugegriffen wurde."
Schon bald wurde klar, dass die Cyberattacke die ganze Welt umfasste und sich auf nahezu 150 Länder ausbreitete. Spanien, die USA, Indien, Russland und China sind nur einige der Länder, in denen alle Arten von Organisationen – auch Regierungsorganisationen betroffen waren.
In Spanien wurde beispielsweise der Telekommunikationsriese Telefónica erfasst; In Russland berichtete das Innenministerium über Kompromittierungen; Und in den USA bestätigte FedEx, dass auch sie Opfer des Ransomware-Angriffs seien.
Im Laufe des Wochenendes reagierten interne und externe Sicherheitsspezialisten schnell auf den Angriff, darunter NHS Digital, ESET, Microsoft und das britische National Cyber Security Center. Alle hatten bis dahin schon sehr viel Zeit in die Schadensbegrenzung und in den Ausbreitungsstopp von WannaCryptor investiert.
Zur Verlangsamung der Ausbreitung trug auch etwas „Glück“ bei. Einer Einzelperson war es gelungen, die Ausbreitung der Ransomware zu pausieren, respektive zu verlangsamen. Die in Großbritannien ansässige Person mit dem Nickname @MalwareTech, aktivierte versehentlich den „Kill-Switch“, was die Malware-Ausbreitung verlangsamte.
Am 13. Mai tweetete er: "Ich gestehe, dass ich mir nicht bewusst war, dass die Domain die Malware stoppen würde, bis ich sie letztendlich registrierte, also war alles dem Zufall überlassen." Der hier verlinkte Blog geht näher auf das Versehen ein, einen globalen Cyberangriff gestoppt zu haben.
Noch haben wir nicht das Ende der Angriffswelle erreicht. Die Ausbreitung findet nach wie vor statt, neue Infektionen werden weltweit immer noch gemeldet, obwohl mit scheinbar "weniger Energie" als das zu Beginn des Ausbruchs der Fall war. Viele rufen deswegen weiterhin zur Wachsamkeit auf, denn aufgrund der Komplexität dieser Ransomware sind "Nachbeben" wahrscheinlich.
Wie konnte WannaCryptor / WannaCry passieren?
Noch ist nicht ganz klar, was die ursprüngliche Quelle dieser Malware ist. Möglich ist jedoch, dass WannaCryptor per E-Mail versendet wurde. Im Anhang versteckte sich eine Backdoor, was darauf hindeutet, dass ein System wohl schon vorher kompromittiert gewesen war.
In unserem Fall hat die Malware eine Schwachstelle in älteren (Windows XP, Windows 8.0, Windows Server 2003) und / oder noch unterstützten Versionen von Microsoft Windows-Betriebssystemen, wo das MS17-010-Update nicht ausgeführt wurde, ausgenutzt. Kompromittierte Computer mit den genannten Betriebssystemen wurden aus irgendeinem Grund nicht mit der neuesten Version aktualisiert. Das MS17-010 Update ist bereits seit März 2017 für unterstützte Systeme verfügbar und wurde am 12. Mai auch für Windows XP / Windows 8.0 / Windows Server 2003 bereitgestellt.
Der Fall hat viele Mängel in einigen Organisationen, Sicherheitsbehörden und Regierungen ans Tageslicht befördert, darunter schwache Informationsaustausche, ineffiziente und zu langsam reagierende Cybersicherungsbemühungen sowie zu niedrige finanzielle Investitionen. Die eben aufgezählten Punkte haben für Cyber-Kriminelle viele Schwachstellen geschaffen, die sie nur noch ausnutzen mussten.
Was sagen Experten, Entscheidungsträger und Organisationen zu WannaCry?
Rob Wainwright, Geschäftsführer von Europol, sagte in einem Interview mit dem britischen Sender Robert Peston: „Wir haben das Emporsteigen von Ransomware als eine von hauptsächlichen Cyber-Bedrohungen beobachtet. So etwas haben wir allerdings noch nie gesehen – die globale Reichweite ist in dieser Form nie dagewesen.“
In einem offiziellen Unternehmensblog beschrieb Brad Smith, Präsident und Chief Legal Officer von Microsoft, die WannaCryptor Ransomware als "Weckruf an alle". Er fügte hinzu: „Wir sollten aus diesem jüngsten Angriff eine erneute Entschlossenheit für dringenderes kollektives Handeln schlussfolgern. Der Tech-Sektor, die Kunden und die Regierungen müssen zusammenarbeiten, um gegen Cyber-Angriffe besser geschützt zu sein. Mehr Handeln ist nötig, und das ist jetzt nötig.“
Mark Porter, Ratsvorsitzender der British Medical Association, stellte fest: „Wir müssen schnell aufklären, was da schiefgelaufen ist, um zu verhindern, dass so etwas wieder passiert. Außerdem sollten wir uns fragen, ob unzureichende Investitionen in NHS-Informationssysteme eine Anfälligkeit für die Eindringlinge geschaffen haben.“
MalwareTech, der sogenannte versehentliche Held, schlussfolgerte in seinem Blog: „Eine wichtige Sache sei an dieser Stelle angemerkt, nur unser Sinkholing stoppte die Ransomware-Ausbreitung. Allerdings hält die Malware-Entwickler niemand davon ab, den Domain-Check aus ihrem Schadprogramm zu entfernen, um die Ausbreitung voranzutreiben. Es ist nun sehr wichtig, die ungepatchten Systeme so schnell wie möglich auf den aktuellsten Stand zu bringen.“
Der britische Gesundheitssekretär Jeremy Hunt, der für sein Schweigen über den Angriff kritisiert wurde, sagte drei Tage nach der Attacke: „Nach unseren neuesten Ermittlungen haben wir keine zweite Angriffswelle gesehen. Das Niveau der kriminellen Tätigkeit ist am unteren Ende der Reichweite, die wir erwartet hatten und so blicken wir hoffnungsvoll in die Zukunft.“
David Harley, ein angesehener Forscher bei ESET, sagte: „Wer den Vorteil des neusten Updates für unterstützte Versionen von Windows (Vista, 7, 8.1 und später) noch nicht gesehen hat, kann nun immer noch profitieren. Wer nicht unterstützte Windows-Betriebssysteme betreibt (ja, wir wissen, dass manche Leute wegen Hardware- oder Software-Kompatibilitätsproblemen solche nutzen), sollte die kürzlich extra erschienen Updates nachinstallieren.“