WannaCry: Eine Ransomware-Pandemie für 32 Bitcoin

Die Ransomware WannaCry hat Computer auf der ganzen Welt befallen. Weil der Virus, wenn er einmal im System ist, jeden Rechner im lokalen Netzwerk infizieren kann, hat WannaCry in kürzester Zeit Krankenhäuser in Großbritannien, Bahn-Anzeigetafeln in Deutschland und Tankstellen in China flächendeckend abgeschaltet. Viele Leute haben bei der Gelegenheit zum ersten Mal erfahren, was Bitcoin ist.

Einen Virus wie WannaCry gab es, glaube ich, bisher noch nicht. Die Ransomware ging am Wochenende um die ganze Welt und infizierte zahlreiche Systeme, die für die Infrastruktur mancher Länder nicht ganz unbedeutend sind.

Natürlich gibt es die sogenannte “Ransomware” schon länger: Software, die Daten verschlüsselt und ein wenig Bitcoin für den Schlüssel verlangt, mit dem man die Daten entschlüsseln kann. Ist nicht unbedingt angenehm, aber mittlerweile eine Plage des Internets, die wir nicht mehr loswerden und deren Schaden sich in Grenzen hält. Wer keine Anhänge von E-Mails herunterlädt, bleibt in der Regel verschont von Ransomware.

Nicht jedoch mit WannaCry. Mit dieser neuen Software kann es unter Umständen genug sein, dass der Kollege doof genug ist, einen unbekannten E-Mail-Anhang zu öffnen. Wie andere Ransomware befällt WannaCry Systeme zuerst per E-Mail. Allerdings nutzt der Virus dann eine Lücke in den Dateifreigaben von Windows, um ohne Zutun der User auf andere Computer im selben Netzwerk überzuspringen. Sobald ein Kollege einen Fehler macht, kann das ganze Netzwerk infiziert werden.

EternalBlue

Der nämliche Bug war usprünglich von der NSA-nahen Equation Group entdeckt und für Angriffe zurückgehalten worden. Allerdings wurde die Equation Group selbst gehackt.  Die als ShadowBroker bekannten Hacker verkauften anschließend das Waffenarsenal der Euqation Group im Darknet.

Microsoft hatte den EternalBlue benannten Exploit in einem Update vor einigen Monaten geschlossen. Dieses Update war aber zunächst für ältere Windows-Versionen wie XP und 8 nicht mehr verfügbar. Microsoft gab erst am 12. Mai ein Update für diese Versionen heraus.

In einer Analyse von WannaCry schreibt die Softwarefirma, diese Lücke demonstriere auch, dass es ein großes Problem sei, dass Regierungen Schwächen von Software sammeln und geheimhalten:

“Es kam wiederholt dazu, dass Exploits aus den Händen der Regierung geleakt wurden und weiten Schaden angerichtet haben. Ein vergleichbares Szenario mit konventionellen Waffen wäre es, wenn dem US Militär einige Tomahawk Flugkörper gestohlen werden. Und diese jüngste Attacke repräsentiert eine vollkommen unintendierte, aber beunruhigende Verbindung zwischen den beiden schwerten Formen von Cyber-Gefahren der heutigen Welt – Nationalstaaten und die organisierte Kriminalität.”

Zu dem Zeitpunkt, als WannaCry begann, um die Welt zu gehen, gab es für ältere Windows-Versionen noch gar kein Update, das die Lücke schloss. Für neuere Windows-Versionen gab es zwar ein Update, aber das hatte nicht jeder eingespielt. Also infizierte WannaCry in wenigen Tagen die ganze Welt.

Die Pandemie bricht aus

Besonders heftig traf es das britische Gesundheitssystem. In mindestens 16 Krankenhäuser des Vereinigten Königreichs sowie insgesamt 40 Institutionen der nationalen Gesundheits-Behörde NHS wurden Computer durch die Ransomware lahmgelegt. Für die Entschlüsselung verlangten die Hacker je 300 Dollar in Bitcoin.

Dass so viele Computer in den britischen Krankenhäusern betroffen war, lag an der schlechten Verwaltung der Computer in der NHS. Erst kurz zuvor war gewarnt worden, dass die Institutionen des Gesundheitssystems dringend ihre IT-Sicherheit verbessern sollten. Die Folgen von WannaCry waren (oder sind), dass viele Prozesse in Kliniken verzögert wurden oder ganz ausfielen, etwa Röntgenaufnahmen, Computertumographie-Scans oder Suchanfragen in den Patientendatenbanken. Mittlerweile scheint die Situation in den meisten Krankenhäusern weiterhin angespannt, aber größtenteils unter Kontrolle zu sein.

Reisende werden es bereits mitbekommen haben, dass die Deutsche Bahn auch zu den Opfern von WannaCry gehört. Der Virus infizierte die Computer, die die Anzeigentafeln in den Bahnhofshallen und auf den Gleisen mit Informationen füttern, sowie zum Teil auch die Ticketautomaten. Nachdem der Virus an manchen Bahnhöfen direkt auf den Anzeigentafeln aufpoppte, wurden die Anzeigen vollständig abgeschaltet.

Weiter betroffen sind unter anderem die spanische Telefonica, der US-Logistikkonzern FedEx, die Autobauer Renault und Nissan, die Deutsche Bahn Logistik-Tochter Schenker, Wirtschaftsprüfer, Banken, das Innenministerium und Katastrophenschutzministerium in Russland, der chinesische Ölkonzern PetroChina, indische Polizeistationen, Banken, Universitäten und viele mehr.

Renault legte den Betrieb in einem der größten Werke, in Duoai, nieder. Am Wochenende hatte der Autobauer auch in mehreren anderen Werken die Maschinen herunterfahren müssen. In China wurden mehr als 20.000 Tankstellen abgeschaltet, Computer-Netzwerken von Schulen sind infiziert, Bankautomaten und sogar Polizeipräsidien. Ähnliche Szenen dürfe es rund um die Welt gegeben haben. Der Virus breitet sich rasend schnell aus und verschlüsselt alle Daten, die ihm in die Hände gelangen; seine Lösegeldforderungen waren auf öffentlichen Bildschirmen rund um die Welt zu lesen.

Die Karte von Intel Malwaretech zeigt, wie weit sich Wannacry  ausgebreitet hat. Gut 270.000 Computer in 99 Ländern wurden infiziert.

Der Kill-Switch

Noch am Wochenende fand ein 22-Jähriger jedoch einen “Kill-Switch” für WannaCry. Der junge IT-Experte hatte herausgefunden, dass der Virus zuerst Kontakt zu einer Internet-Domain aufnimmt, und die Datenverschlüsselung erst dann beginnt, wenn diese nicht zu erreichen ist. Ist der Server hingegen erreichbar, schaltet sich der Virus selbst ab. Nachdem Hutchins erfuhr, dass die Domain, die in den Virus eingeschrieben ist, noch gar nicht vergeben wurde, hat er sie gekauft und aktiviert. Die Folge ist, dass WannaCry damit aufhört, Daten zu verschlüsseln und neue Rechner zu infizieren. Dies rettet nicht die Daten, die bereits verschlüsselt sind, hält aber weiteren Schaden auf.

Allerdings stoppt der Killswitch nur die eine Art von WannaCry-Viren. Sicherheitsforscher haben bereits herausgefunden, dass noch weitere WannaCry-Inkarnationen in Umlauf sind, zum Teil mit einer anderen Domain, zum Teil ohne Domain-Killswitch. Solange die Sicherheitslücke nicht lokal geschlossen ist, gibt es keinen Grund, aufzuatmen.

Bitcoin

Natürlich ist Bitcoin nicht die Ursache dafür, dass Hacker Viren schreiben und öffentliche Computersysteme unzureichend geschützt werden. Aber Bitcoin ist, daran führt kein Weg vorbei, eine Motivation für einen Hacker. Schreib’ ein Virus, schick es um die Welt, und schau’ zu, wie das Geld eintröpfelt. Ransomware ist seit 2013 eine Wachstumsindustrie, in der mittlerweile fast ausschließlich mit Bitcoin bezahlt wird.

WannaCry verlangt etwa 300 Dollar in Bitcoins für den Schlüssel, mit dem man die Daten wiederherstellen kann. Auf Github hat Gregor Spagnolo Adressen zusammengestellt, die dem WannaCry-Hacker gehören. Bisher sind dies sechs Adressen, auf denen insgesamt etwa 32 Bitcoins eingegangen. Das ist nicht unbedingt nichts, aber für einen weltumfassenden Hack von Krankenhäusern, Bahnen, Polizeipräsidien, Autofabriken, Katastrophenschutzministerien, Universitäten und Tankstellen – für einen solchen Jahrhundertvirus sind die Einnahmen bislang eher gering.

Oft wird gesagt, man solle auf keinen Fall bezahlen. Wenn man den Hackern Geld gibt, dann haben sie mehr Ressourcen, um nach weiteren Schwachstellen zu suchen. Man macht sie damit nur stärker. Außerdem – wer garantiert, dass man den Schlüssel wirklich bekommt?

Wie man darauf reagiert, hängt vermutlich aber davon ab, wie wichtig einem die Daten sind. Viele werden es wohl auch als eine Art Warnschuss hinnehmen, als ein unerwünschtes Bugs Bounty, und Vorkehrungen wie Backups oder mehr Upgrades treffen, um zu verhindern, dass sich ein solcher Angriff wiederholt. Denn nur so kann man sich wirklich schützen.