Der WannaCry Ransomware-Angriff erfolgte am 12. Mai 2017 und betraf mehr als 200.000 Computer. WannaCry nutzte eine ungepatchte Sicherheitslücke, um Netzwerke auf der ganzen Welt zu durchwühlen.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Der WannaCry-Ransomware*-Angriff war ein schwerwiegender Sicherheitsvorfall, der Organisationen auf der ganzen Welt in Mitleidenschaft zog. Am 12. Mai 2017 verbreitete sich der Ransomware-Wurm WannaCry auf mehr als 200.000 Computern in über 150 Ländern. Zu den namhaften Opfern gehörten FedEx, Honda, Nissan und der britische nationale Gesundheitsdienst (NHS), der sogar einen Teil seiner Krankenwagen in andere Krankenhäuser umleiten musste.
Innerhalb weniger Stunden nach dem Angriff wurde WannaCry vorübergehend neutralisiert. Ein Sicherheitsforscher entdeckte einen „Kill Switch“, der die Malware praktisch ausschaltete. Doch viele betroffene Computer blieben verschlüsselt und somit unbrauchbar, bis die Opfer das Lösegeld bezahlten oder die Verschlüsselung rückgängig machen konnten.
WannaCry verbreitete sich über eine Sicherheitslücke namens „EternalBlue“. Der Exploit wurde von der Nationalen Sicherheitsbehörde der USA (NSA) entwickelt, vermutlich für den eigenen Gebrauch. Aber nachdem die NSA selbst kompromittiert worden war, wurde der Exploit von einer Gruppe namens Shadow Brokers gestohlen und der Öffentlichkeit zugänglich gemacht. EternalBlue funktionierte nur auf älteren, ungepatchten Versionen von Microsoft Windows, aber diese Versionen liefen auf mehr als genug Rechnern, sodass sich WannaCry schnell verbreiten konnte.
*Ransomware ist böswillige Software, die Dateien und Daten durch Verschlüsselung sperrt und daraufhin Lösegeld verlangt.
Im Sicherheitssektor ist ein Wurm ein böswilliges Softwareprogramm, das sich automatisch auf mehrere Computer in einem Netzwerk ausbreitet. Ein Wurm nutzt Schwachstellen im Betriebssystem, um von Computer zu Computer zu springen und auf jedem Computer eine Kopie von sich zu installieren.
Stellen Sie sich einen Wurm wie einen Dieb vor, der durch einen Büropark geht und nach unverschlossenen Türen sucht. Sobald der Dieb eine unverschlossene Tür findet, erstellt er ein Duplikat von sich selbst. Das Duplikat bleibt in dem unverschlossenen Büro und beide Versionen setzen ihre Suche nach unverschlossenen Türen fort.
Die meisten Würmer enthalten keine Ransomware. Ransomware verbreitet sich in der Regel über böswillige E-Mails, Kompromittierung von Zugangsdaten, Botnets oder gezielte Ausnutzung von Sicherheitslücken (Ryuk ist ein Beispiel für Letzteres). WannaCry war insofern einzigartig, als dass sie nicht nur Ransomware mit einem Wurm kombinierte, sondern auch eine besonders effektive Sicherheitslücke ausnutzte, die von der NSA geschaffen worden war.
Die Shadow Brokers sind eine Gruppe von Angreifern, die im Jahr 2016 begann, Malware-Tools und Zero-Day-Exploits an die Öffentlichkeit zu bringen. Es wird vermutet, dass sie eine Reihe von Exploits erworben haben, die von der NSA entwickelt wurden, möglicherweise infolge eines Insider-Angriffs in der Behörde. Am 14. April 2017 veröffentlichten die Shadow Brokers den EternalBlue-Exploit, der schließlich von WannaCry genutzt wurde.
Microsoft brachte am 14. März einen Patch für EternalBlue heraus, einen Monat bevor die Shadow Brokers den Exploit durchsickern ließen, aber viele Computer waren zum Zeitpunkt des WannaCry-Angriffs noch nicht gepatcht.
Ende 2017 erklärten die USA und Großbritannien die Regierung Nordkoreas als Verantwortlichen für WannaCry. Einige Sicherheitsforscher widersprechen dieser Zuschreibung jedoch. WannaCry könnte das Werk der in Nordkorea ansässigen Lazarus Group gewesen sein, argumentieren einige, ohne direkt von der Regierung Nordkoreas zu stammen. Andere vermuten, dass die Hinweise auf die Urheberschaft in der Malware in Nordkorea platziert wurden, um Angreifern aus dem Land die Schuld zuzuweisen, und dass WannaCry in Wirklichkeit aus einer ganz anderen Region stammen könnte.
Am Tag des Angriffs setzte sich ein Sicherheitsblogger und -forscher namens Marcus Hutchins ans Reverse Engineering des WannaCry-Quellcodes. Er fand ein ungewöhnliches Merkmal: Vor der Ausführung fragte WannaCry die Domain iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com ab. Diese Website existierte nicht.
Also registrierte er die Domain. (Das kostete ihn 10,69 $.)
Daraufhin verbreiteten sich die Kopien von WannaCry weiter, aber sie wurden nicht mehr ausgeführt. Im Wesentlichen schaltete sich WannaCry selbst ab, sobald es eine Antwort von iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com erhielt.
Die Beweggründe der WannaCry-Autoren lassen sich zwar nicht mit Sicherheit feststellen, aber es wird vermutet, dass die Ransomware mit dieser Funktion zur Abfrage von Domains prüfte, ob sie sich innerhalb einer Sandbox befindet.
Eine Sandbox ist ein Anti-Malware-Tool. Es handelt sich um eine virtuelle Maschine, die getrennt von allen anderen Systemen und Netzwerken läuft. Sie dient als sichere Umgebung, um nicht vertrauenswürdige Dateien auszuführen und ihr Verhalten zu beobachten.
Eine Sandbox ist nicht wirklich mit dem Internet verbunden. Sandboxen versuchen jedoch, einen echten Computer so gut wie möglich zu imitieren. Daher können sie eine gefälschte Antwort auf eine von der Malware an eine bestimmte Domain gerichtete Abfrage erzeugen. Eine Malware könnte also überprüfen, ob sie sich innerhalb einer Sandbox befindet, indem sie eine Anfrage an eine gefälschte Domain sendet. Wenn sie eine „echte“ (von der Sandbox generierte) Antwort erhält, kann sie davon ausgehen, dass sie sich in einer Sandbox befindet und sich selbst abschalten, um von dieser nicht als böswillig erkannt zu werden.
Wenn die Malware ihre Testabfrage jedoch an eine fest kodierte Domain sendet und jemand diese Domain registriert, kann ihr vorgetäuscht werden, dass sie sich immer in einer Sandbox befindet. Dies könnte bei WannaCry der Fall gewesen sein: Kopien von WannaCry auf der ganzen Welt wurde weiß gemacht, dass sie sich in einer Sandbox befänden und so schalteten sie sich selbst ab. (Ein besseres Design aus Sicht des Malware-Autors wäre es, eine zufällige Domain abzufragen, die jedes Mal anders ist – das würde die Wahrscheinlichkeit, eine Antwort von der Domain außerhalb einer Sandbox zu erhalten, gegen Null tendieren lassen).
Eine andere mögliche Erklärung ist, dass die sich global verbreitende Kopie von WannaCry unfertig war. Möglicherweise haben die Autoren von WannaCry diese Domain als Platzhalter fest codiert und wollten sie vor der Freigabe des Wurms durch die Adresse ihres Command-and-Control (C&C)-Servers ersetzen. Oder sie hatten vor, iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com selbst zu registrieren. (DNS-Filter oder URL-Filter hätten die Anfragen an diese Domain vielleicht anhalten können, aber die meisten Einrichtungen wären nicht in der Lage gewesen diese Sicherheitsmaßnahmen rechtzeitig zu ergreifen).
Wie dem auch sei, es war ein Glücksfall, dass eine so einfache Aktion Computer und Netzwerke auf der ganzen Welt vor weiteren Infektionen bewahren konnte.
Es stellte sich heraus, dass Hutchins, vor seiner Arbeit als Blogger und Sicherheitsforscher, jahrelang in Malware-Foren im Dark Web unterwegs war und seine eigene Malware entwickelt und verkauft hatte. Einige Monate nach dem WannaCry-Vorfall wurde Hutchins in Las Vegas, Nevada, vom FBI verhaftet, weil er Kronos, einen Stamm von Banking-Malware, entwickelt hatte.
Die im Jahr 2017 auf die Welt losgelassene Version von WannaCry ist dank der Kill Switch Domain von Hutchins nicht mehr funktionsfähig. Außerdem ist seit März 2017 ein Patch für die von WannaCry ausgenutzte Sicherheitslücke EternalBlue verfügbar.
Dennoch kommt es nach wie vor zu WannaCry-Angriffen. Im März 2021 nutzte WannaCry noch immer die Sicherheitslücke EternalBlue, sodass nur extrem alte, überholte Windows-Systeme gefährdet waren. Neuere Versionen von WannaCry haben das Kill-Switch-Feature, die in der ursprünglichen Version vorhanden war, beseitigt. Es wird dringend empfohlen, die Betriebssysteme immer zu aktualisieren und Sicherheitsupdates sofort zu installieren.
Obwohl die ursprüngliche Version von WannaCry nicht mehr aktiv ist, lassen sich aus dem Angriff im Mai 2017 wichtige Lehren ziehen:
Erfahren Sie mehr über andere Ransomware-Stämme: