Grundlegende Informationen über WannaCry
Es handelt sich um einen Virus, der sich in mindestens 74 Ländern ausgebreitet hat. Die vier am stärksten betroffenen Länder waren Russland, die Ukraine, Indien und Taiwan (Stand: Freitag, 12. Mai 2017). Das Virus zielte zunächst auf Russland ab, um sich dann auf verschiedene Branchen auszubreiten, darunter Telekommunikation, Schifffahrt, Automobilhersteller, Universitäten und das Gesundheitswesen. Die Malware verschlüsselt Benutzerdateien und fordert eine Gebühr in Höhe von 300 oder 600 US-Dollar in Bitcoins an eine Adresse, die in den nach der Infektion angezeigten Anweisungen angegeben wird. Abbildung 1 zeigt die Meldung, die auf infizierten Systemen zu sehen sind, wenn WannaCry die Geräte infiziert. Dieser Screenshot stammt aus dem Bericht von LogRhythm Labs. Der Virus verbreitete sich äußerst effektiv, da er auf mehrere wichtige und hochrangige Einrichtungen abzielte, darunter mehrere Einrichtungen in dem Vereinigten Königreich, darunter der National Health Service (NHS).
Abbildung 1
WannaCry-Komponenten und Quelle
Die WannaCry-Ransomware besteht aus einem anfänglichen Dropper, der das Verschlüsselungsprogramm als eingebettete Ressource enthält. Die Verschlüsselungskomponenten sind:
Weitere Informationen zu den einzelnen Komponenten findest du hier. Der Encrypter hat Unterkomponenten, die für seine Funktionalität notwendig sind. Um den Blog-Artikel kurz und einfach zu halten, werden wir jedoch nicht näher auf diese Unterkomponenten eingehen.
Es gab Spekulationen, dass eine infizierte PDF-Datei die Quelle des Angriffs war, die später in einer Phishing-Kampagne verwendet wurde. Analysten haben diese Theorie jedoch nicht bestätigt, und bis jetzt ist die ursprüngliche Quelle des Angriffs weiterhin ungeklärt.
Wie hat WannaCry Systeme infiziert?
Der Quellcode von WannaCry ist bis heute nicht gefunden worden und steht den Forschern daher nicht zur Verfügung. Die Forscher nutzten Verhaltensmuster des Virus, um seine Interaktion mit Systemen zu bewerten. Sie vermuten, dass:
Abbildung 2
NHS - ein prominentes Opfer von WannaCry
Wie bereits erwähnt, waren viele Institutionen von diesem Virus betroffen. Zu den wahrscheinlich bekannten WannaCry-Opfern gehörte der NHS in Großbritannien. Am 12. Mai stellte der NHS zunächst fest, dass 45 NHS-Organisationen, darunter 37 Trusts, mit der WannaCry-Ransomware infiziert waren. In den folgenden Tagen meldeten weitere Organisationen des NHS, dass sie ebenfalls betroffen waren. Insgesamt waren 80 von 236 Trusts im Vereinigten Königreich betroffen.
Infolgedessen meldete der NHS die folgenden Zahlen:
Der Cyberangriff hätte noch größere Störungen verursachen können, wenn er nicht von einem Cyberforscher durch die Aktivierung eines "Kill-Switch" gestoppt worden wäre. Am Abend des 12. Mai aktivierte ein Cyber-Sicherheitsforscher einen "Kill-Switch", so dass WannaCry keine Geräte mehr sperrte. Dies bedeutete, dass die WannaCry-Ransomware einige NHS-Organisationen infiziert hatte, diese aber aufgrund der Aktionen des Forschers nicht von ihren Geräten und Systemen ausgesperrt ("locked out") wurden. Zwischen dem 15. Mai und Mitte September identifizierten NHS Digital und NHS England weitere 92 Organisationen, darunter 21 Trusts, die mit der WannaCry-Domäne Kontakt hatten. NHS England geht davon aus, dass in diesen Regionen mehr Organisationen infiziert wurden, weil sie am 12. Mai betroffen waren, bevor der "Kill-Switch" von WannaCry aktiviert wurde.
WannaCry-Abwehr und -Prävention
Angenommen, ein System wird mit der WannaCry-Ransomware infiziert. In diesem Fall ist es am besten, zu versuchen, Dateien aus einem Backup wiederherzustellen, anstatt das Lösegeld zu bezahlen, da es keine Garantie gibt, dass die Zahlung zu einer erfolgreichen Entschlüsselung führt.
Um eine Infektion und die Verbreitung dieser Malware im Netzwerk zu verhindern, sollten alle Windows-Systeme auf aktuelle Patches und Antivirensignaturen aktualisiert werden. Darüber hinaus verhindert das Blockieren eingehender Verbindungen zu den SMB-Ports (139 und 445) die Ausbreitung der Malware auf Systeme, die noch für die gepatchte Sicherheitslücke anfällig sind.
Weitere Hinweise finden Sie in folgendem Blog-Artikel von Microsoft, in dem auf einen Notfall-Patch für Kunden verwiesen wird, die nicht unterstützte Betriebssysteme verwenden.
Ransomware in Deutschland
Ransomware-Angriffe haben auch in Deutschland zugeschlagen. Ein Beispiel ist das Universitätsklinikum Düsseldorf. Im Jahr 2020 wurden die IT-Systeme von einem Ransomware-Angreifer namens DoppelPaymer verschlüsselt, was das Krankenhaus dazu zwang, Notfallpatienten abzuweisen, und diesen Angriff möglicherweise zum ersten Todesfall durch Ransomware machte, da ein Patient starb, während wichtige Krankenhaussysteme aufgrund des Ransomware-Angriffs offline waren. In diesem Bericht finden Sie weitere Informationen über die Geschichte und den Trend von Ransomware-Angriffen in den Jahren 2021 und 2022.
WannaCry in Deutschland
WannaCry hat auch Deutschland nicht verschont. Es infizierte die Computer der Deutschen Bahn. Zugreisende konnten Auswirkungen des Virus auf Bildschirmen und Anzeigetafeln verschiedener Bahnhöfe sehen. Abbildung 3 zeigt die Infektionsmeldung, die laut heise.de auf den Bildschirmen in den Bahnhöfen angezeigt wird. Auch die Kameras in den Bahnhöfen waren betroffen.
Abbildung 3
Nach Angaben des Bundesinnenministeriums war auch die Videoüberwachung in Bahnhöfen betroffen, nicht aber die Computer der Bundespolizei selbst.
WannaCry erschien auf den Anzeigetafeln mehrerer DB-Bahnhöfe, einschließlich des Frankfurter Hauptbahnhofs. Obwohl die geplanten Fahrten der DB und der Fahrplan der Züge normal abliefen, funktionierten die Fahrkartenautomaten aufgrund der Infektion der von ihnen betriebenen Computer nicht mehr.