WannaCry: Eine Ransomware-Pandemie für 32 Bitcoin

Bio_Hazard_Virus_Matrix_by_Robbert_van_der_Steeg via flickr.com. Lizenz: Creative Commons

Die Ransomware WannaCry hat Computer auf der ganzen Welt befallen. Weil der Virus, wenn er einmal im System ist, jeden Rechner im lokalen Netzwerk infizieren kann, hat WannaCry in kürzester Zeit Krankenhäuser in Großbritannien, Bahn-Anzeigetafeln in Deutschland und Tankstellen in China flächendeckend abgeschaltet. Viele Leute haben bei der Gelegenheit zum ersten Mal erfahren, was Bitcoin ist.

Einen Virus wie WannaCry gab es, glaube ich, bisher noch nicht. Die Ransomware ging am Wochenende um die ganze Welt und infizierte zahlreiche Systeme, die für die Infrastruktur mancher Länder nicht ganz unbedeutend sind.

Natürlich gibt es die sogenannte “Ransomware” schon länger: Software, die Daten verschlüsselt und ein wenig Bitcoin für den Schlüssel verlangt, mit dem man die Daten entschlüsseln kann. Ist nicht unbedingt angenehm, aber mittlerweile eine Plage des Internets, die wir nicht mehr loswerden und deren Schaden sich in Grenzen hält. Wer keine Anhänge von E-Mails herunterlädt, bleibt in der Regel verschont von Ransomware.

Nicht jedoch mit WannaCry. Mit dieser neuen Software kann es unter Umständen genug sein, dass der Kollege doof genug ist, einen unbekannten E-Mail-Anhang zu öffnen. Wie andere Ransomware befällt WannaCry Systeme zuerst per E-Mail. Allerdings nutzt der Virus dann eine Lücke in den Dateifreigaben von Windows, um ohne Zutun der User auf andere Computer im selben Netzwerk überzuspringen. Sobald ein Kollege einen Fehler macht, kann das ganze Netzwerk infiziert werden.

EternalBlue

Der nämliche Bug war usprünglich von der NSA-nahen Equation Group entdeckt und für Angriffe zurückgehalten worden. Allerdings wurde die Equation Group selbst gehackt.  Die als ShadowBroker bekannten Hacker verkauften anschließend das Waffenarsenal der Euqation Group im Darknet.

Microsoft hatte den EternalBlue benannten Exploit in einem Update vor einigen Monaten geschlossen. Dieses Update war aber zunächst für ältere Windows-Versionen wie XP und 8 nicht mehr verfügbar. Microsoft gab erst am 12. Mai ein Update für diese Versionen heraus.

In einer Analyse von WannaCry schreibt die Softwarefirma, diese Lücke demonstriere auch, dass es ein großes Problem sei, dass Regierungen Schwächen von Software sammeln und geheimhalten:

“Es kam wiederholt dazu, dass Exploits aus den Händen der Regierung geleakt wurden und weiten Schaden angerichtet haben. Ein vergleichbares Szenario mit konventionellen Waffen wäre es, wenn dem US Militär einige Tomahawk Flugkörper gestohlen werden. Und diese jüngste Attacke repräsentiert eine vollkommen unintendierte, aber beunruhigende Verbindung zwischen den beiden schwerten Formen von Cyber-Gefahren der heutigen Welt – Nationalstaaten und die organisierte Kriminalität.”

Zu dem Zeitpunkt, als WannaCry begann, um die Welt zu gehen, gab es für ältere Windows-Versionen noch gar kein Update, das die Lücke schloss. Für neuere Windows-Versionen gab es zwar ein Update, aber das hatte nicht jeder eingespielt. Also infizierte WannaCry in wenigen Tagen die ganze Welt.

Die Pandemie bricht aus

Besonders heftig traf es das britische Gesundheitssystem. In mindestens 16 Krankenhäuser des Vereinigten Königreichs sowie insgesamt 40 Institutionen der nationalen Gesundheits-Behörde NHS wurden Computer durch die Ransomware lahmgelegt. Für die Entschlüsselung verlangten die Hacker je 300 Dollar in Bitcoin.

Dass so viele Computer in den britischen Krankenhäusern betroffen war, lag an der schlechten Verwaltung der Computer in der NHS. Erst kurz zuvor war gewarnt worden, dass die Institutionen des Gesundheitssystems dringend ihre IT-Sicherheit verbessern sollten. Die Folgen von WannaCry waren (oder sind), dass viele Prozesse in Kliniken verzögert wurden oder ganz ausfielen, etwa Röntgenaufnahmen, Computertumographie-Scans oder Suchanfragen in den Patientendatenbanken. Mittlerweile scheint die Situation in den meisten Krankenhäusern weiterhin angespannt, aber größtenteils unter Kontrolle zu sein.

Reisende werden es bereits mitbekommen haben, dass die Deutsche Bahn auch zu den Opfern von WannaCry gehört. Der Virus infizierte die Computer, die die Anzeigentafeln in den Bahnhofshallen und auf den Gleisen mit Informationen füttern, sowie zum Teil auch die Ticketautomaten. Nachdem der Virus an manchen Bahnhöfen direkt auf den Anzeigentafeln aufpoppte, wurden die Anzeigen vollständig abgeschaltet.

Weiter betroffen sind unter anderem die spanische Telefonica, der US-Logistikkonzern FedEx, die Autobauer Renault und Nissan, die Deutsche Bahn Logistik-Tochter Schenker, Wirtschaftsprüfer, Banken, das Innenministerium und Katastrophenschutzministerium in Russland, der chinesische Ölkonzern PetroChina, indische Polizeistationen, Banken, Universitäten und viele mehr.

Renault legte den Betrieb in einem der größten Werke, in Duoai, nieder. Am Wochenende hatte der Autobauer auch in mehreren anderen Werken die Maschinen herunterfahren müssen. In China wurden mehr als 20.000 Tankstellen abgeschaltet, Computer-Netzwerken von Schulen sind infiziert, Bankautomaten und sogar Polizeipräsidien. Ähnliche Szenen dürfe es rund um die Welt gegeben haben. Der Virus breitet sich rasend schnell aus und verschlüsselt alle Daten, die ihm in die Hände gelangen; seine Lösegeldforderungen waren auf öffentlichen Bildschirmen rund um die Welt zu lesen.

Die Karte von Intel Malwaretech zeigt, wie weit sich Wannacry  ausgebreitet hat. Gut 270.000 Computer in 99 Ländern wurden infiziert.

Der Kill-Switch

Noch am Wochenende fand ein 22-Jähriger jedoch einen “Kill-Switch” für WannaCry. Der junge IT-Experte hatte herausgefunden, dass der Virus zuerst Kontakt zu einer Internet-Domain aufnimmt, und die Datenverschlüsselung erst dann beginnt, wenn diese nicht zu erreichen ist. Ist der Server hingegen erreichbar, schaltet sich der Virus selbst ab. Nachdem Hutchins erfuhr, dass die Domain, die in den Virus eingeschrieben ist, noch gar nicht vergeben wurde, hat er sie gekauft und aktiviert. Die Folge ist, dass WannaCry damit aufhört, Daten zu verschlüsseln und neue Rechner zu infizieren. Dies rettet nicht die Daten, die bereits verschlüsselt sind, hält aber weiteren Schaden auf.

Allerdings stoppt der Killswitch nur die eine Art von WannaCry-Viren. Sicherheitsforscher haben bereits herausgefunden, dass noch weitere WannaCry-Inkarnationen in Umlauf sind, zum Teil mit einer anderen Domain, zum Teil ohne Domain-Killswitch. Solange die Sicherheitslücke nicht lokal geschlossen ist, gibt es keinen Grund, aufzuatmen.

Bitcoin

Natürlich ist Bitcoin nicht die Ursache dafür, dass Hacker Viren schreiben und öffentliche Computersysteme unzureichend geschützt werden. Aber Bitcoin ist, daran führt kein Weg vorbei, eine Motivation für einen Hacker. Schreib’ ein Virus, schick es um die Welt, und schau’ zu, wie das Geld eintröpfelt. Ransomware ist seit 2013 eine Wachstumsindustrie, in der mittlerweile fast ausschließlich mit Bitcoin bezahlt wird.

WannaCry verlangt etwa 300 Dollar in Bitcoins für den Schlüssel, mit dem man die Daten wiederherstellen kann. Auf Github hat Gregor Spagnolo Adressen zusammengestellt, die dem WannaCry-Hacker gehören. Bisher sind dies sechs Adressen, auf denen insgesamt etwa 32 Bitcoins eingegangen. Das ist nicht unbedingt nichts, aber für einen weltumfassenden Hack von Krankenhäusern, Bahnen, Polizeipräsidien, Autofabriken, Katastrophenschutzministerien, Universitäten und Tankstellen – für einen solchen Jahrhundertvirus sind die Einnahmen bislang eher gering.

Oft wird gesagt, man solle auf keinen Fall bezahlen. Wenn man den Hackern Geld gibt, dann haben sie mehr Ressourcen, um nach weiteren Schwachstellen zu suchen. Man macht sie damit nur stärker. Außerdem – wer garantiert, dass man den Schlüssel wirklich bekommt?

Wie man darauf reagiert, hängt vermutlich aber davon ab, wie wichtig einem die Daten sind. Viele werden es wohl auch als eine Art Warnschuss hinnehmen, als ein unerwünschtes Bugs Bounty, und Vorkehrungen wie Backups oder mehr Upgrades treffen, um zu verhindern, dass sich ein solcher Angriff wiederholt. Denn nur so kann man sich wirklich schützen.

About Christoph Bergmann (1148 Articles)
Das Bitcoinblog wird von bitcoin.de gesponsort, ist inhaltlich aber unabhängig und gibt die Meinung des Redakteurs Christoph Bergmann wieder. Wenn Ihnen das Blog gefällt, freuen wir uns über Spenden an 1BvayiASVCmGmg4WUJmyRHoNevWWo5snqC. Wir akzeptiere mit dieser Adresse sowohl Bitcoin als auch Bitcoin Cash. Weitere Infos, wie Sie uns unterstützen können, finden Sie HIER. Gastbeiträge sind ebenfalls willkommen. Meinen öffentlichen PGP-Schlüssel sowie den Bitmessage-Schlüssel finden Sie HIER

8 Comments on WannaCry: Eine Ransomware-Pandemie für 32 Bitcoin

  1. Carsten Otto // 15. May 2017 at 18:01 // Reply

    Offen ist, wie man nach der Bezahlung an den Schlüssel kommt. Mit den wenigen Adressen ist eine Zuordnung schwer. Außerdem funktioniert der Kill-Switch in vielen Unternehmen nicht, die einen Proxy einsetzen.

  2. Am meisten hat mich verwundert das ein 22 Jähriger unter all den Experten eine kurzfristige Lösung gefunden hat.
    Vielleicht hat sogar ein 10jähriger “WannaCry” geschrieben …. Hmmm, der Name könnte doch eine Andeutung sein 🙂

    • WannaCry heißt eigentlich WannaDecrypt. WannaCry ist nur ein Spitzname. Ich frage mich eher was das mit der Domain soll. Befürchteten die Dienste in den USA, daß WannaDecrypt gegen sie selbst gewendet werden könnte? Dann hätten sie den Schalter gekannt und ihn nicht zu betätigen wäre ziemlich böswillig gewesen. Oder wollte jemand unbedingt die fragliche Domain registriert sehen? Wie teuer war die? War der Inhaber gar ein Komplize? Oder soll man das jetzt denken?
      Ranma

  3. >> Die Ransomware WannaCry hat Computer auf der
    >> ganzen Welt befallen. Weil der Virus, wenn er einmal
    >> im System ist, jeden Rechner im lokalen Netzwerk infizieren …
    Das ist falsch 🙂 Jeden WINDOWS Rechner. Und umsomehr ist die Aufregung unverständlich, kann doch Windows mit einer langjährigen Liste von security Problemen glänzen. Das ist doch nur “Security Theater”. Geht mal an die Ursache ran…
    Da Geheimdienste die Jungs bei Windows ja gerne mal auffordern, Sicherheitslücken (Backdoors) einzubauen, um Kinderpornographie, Terrorismus und Geldwäsche bekämpfen zu können, ist es nur mehr als gerecht, dass andere Verbrecher nun dieses Vehikel nutzen 🙂
    Ein Schelm, wer böses dabei denkt!

    • Danke. Wenigstens einer traut sich, die Wahrheit zu sagen. Aber Windows zu installieren ist nur der erste Schritt, um sich solcher Malware auszusetzen. Windows-Befürworter und sogar Microsoft selbst weisen ständig daraufhin, daß man laufend für Aktualisierungen sorgen muß. Sogar mit einem rückständigem System wäre immernoch niemand gezwungen gewesen, auf nichtvertrauenswürdige Links oder sonstige Sachen draufzuklicken. Man mußte schon sehr viel Dummheit voraussetzen, um überhaupt einen Versuch mit Ransomware zu beginnen.
      Ranma

  4. name required // 16. May 2017 at 12:52 // Reply

    Zur deutschen Bahn ein goldiger Heise Kommentar:
    “Wer Windows auf Anzeigetafeln verwendet, at die Kontrolle über sein Leben verloren.”

    Also wirklich, ein vollumfängliches OS um ein BIld anzuzeigen? Ein Kleinstcomputer mit einem Minimal OS wäre günstiger, stromsparender, wartungsfreier, sicherer, und und und

  5. Interessant, dass die selbe Sicherheitslücke schon seit längerer Zeit in einem Wurm verwendet wurde, der die befallenen Rechner für Monero Mining missbraucht: https://www.heise.de/newsticker/meldung/WannaCry-Mining-Trojaner-Adylkuzz-nutzte-gleiche-Luecken-wohl-schon-vorher-3715414.html

    Scheint auch weniger invasiv und trotzdem lukrativer gewesen zu sein 😉

    • Genial. So etwas würde ich auch gerne können. Der Trick ist war sogar fast legal.
      Ranma

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s