Was ist der WannaCry-Ransomware-Angriff?

WannaCry ist ein Ransomware-Kryptowurm, der erstmals am 17. Mai 2017 auftauchte. Auch bekannt als WannaCrypt, WannaDecryptOr 2.0 und WanaDecryptOr 2.0, zielt er speziell auf Computer ab, auf denen eine beliebige Version des Microsoft-Betriebssystems ausgeführt wird.

Cyberkriminelle tricksen Nutzer aus oder nutzen Social Engineering, um den Virus herunterzuladen und sich Zugang zu Computern und Netzwerken zu verschaffen. Es verschlüsselt oder „entführt“ wichtige Dateien, Anwendungen und Programme aus vielen Computernetzwerken. Cyberkriminelle nutzen dann diese WannaCry-Ransomware-Attacke, um eine Zahlung (oder ein Lösegeld) für die Wiederherstellung der verschlüsselten Dateien für den Benutzer zu fordern.

Ransomware kann Ihr Unternehmen bis zu 2 Millionen Dollar pro Vorfall kosten. Die Erstellung eines dynamischen Backup-Systems ist eine der besten Methoden, um zu verhindern, dass Ihr Netzwerk Opfer eines Ransomware-Angriffs wird. Veeam kann Ihrem Unternehmen helfen, indem es ein sicheres Backup anbietet, um Ihre wichtigsten Daten zu schützen, wenn Sie Opfer eines Ransomware-Angriffs werden. In den meisten Fällen sind Sie schnell wieder einsatzbereit.

Funktionsweise

WannaCry nutzt eine Sicherheitslücke im Server Message Block (SMBv1) des Microsoft-Betriebssystems. Wenn WannaCry einen Computer oder ein Computernetzwerk infiziert, erscheint auf dem Computer des Benutzers ein Bildschirm, der besagt, dass die Dateien verschlüsselt wurden und der Benutzer innerhalb von drei Tagen ein Lösegeld in Höhe von 300 USD in Bitcoin oder innerhalb von sieben Tagen 600 USD zahlen muss.

Am interessantesten und eine Warnung an alle Unternehmen, Software regelmäßig zu aktualisieren, ist, dass Microsoft die Sicherheitslücke selbst entdeckt und zwei Monate vor dem Erscheinen von WannaCry einen Patch für alle unterstützten Systeme veröffentlicht hat. Später wurde ein Patch für ältere Versionen des Microsoft-Betriebssystems veröffentlicht. Leider hat dieser Fix die Verwendung von WannaCry nicht verhindert.

Wie sich WannaCry ausbreitet

WannaCry konzentriert sich auf eine ältere Version des SMBv1. Es lädt sich selbst als eigenständiges Programm auf Computer herunter, das die Komponenten extrahiert, die zum Verschlüsseln der Benutzerdaten erforderlich sind. Dieses verbreitet sich schnell in jedem Netzwerk, das ältere Microsoft-Betriebssysteme verwendet, einschließlich solcher, für die der Support eingestellt wurde, wie Windows XP und Windows 7.

WannaCry ist dazu ein Netzwerkwurm, der sich selbst transportieren kann. Sobald ein Benutzer zum ersten Mal dazu verleitet wird, das Virus herunterzuladen, kann es sich mithilfe von Transportcode automatisch verbreiten. WannaCry sucht nach anderen Rechnern, die infiziert werden könnten, und nutzt dann einen Hack, der ursprünglich von der US-amerikanischen National Security Agency (NSA) entwickelt wurde, um auf Computer zuzugreifen. Es verschafft sich dann Zugang zu Computernetzwerken über DoublePulsar, eine „Backdoor“-Software, die von der NSA entwickelt, von einer Gruppe von Hackern, die als Shadow Brokers bekannt sind (ein Name, der von einer Figur aus dem Videospiel Mass Effect inspiriert ist), gestohlen und dann im April 2017 der Öffentlichkeit zugänglich gemacht wurde. Laut den Forschern infizierte DoublePulsar bereits nach wenigen Tagen mehrere hunderttausend Rechner und verbreitete sich schnell immer weiter.

WannaCry Kill Switch

Nach dem Start versucht WannaCry, auf eine hartcodierte URL zuzugreifen, die als Kill-Switch bezeichnet wird. Wenn diese URL nicht erreicht werden kann, werden wichtige Daten auf dem Computer verschlüsselt. Wenn die Software eine Verbindung zu dieser URL herstellt, wird der Computer heruntergefahren und es wird kein weiterer Schaden angerichtet.

Computerexperten, die WannaCry untersucht haben, sind sich nicht sicher, warum es verwendet wurde. WannaCry verwendet eine unsinnige URL (z.B. iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea(dot)com) als Notausschalter. Marcus Hutchins, ein britischer Sicherheitsforscher, begann fast sofort mit der Untersuchung des WannaCry-Virus. Er bemerkte, dass es versuchte, diese URL zu erreichen, und kam zu dem Schluss, dass sich die Software so verhielt, um die Forscher in die Irre zu führen und die Analyse des Codes zu erschweren.

Hutchins tat jedoch mehr, als das Virus zu untersuchen. Er bezahlte für die Registrierung dieser URL und erstellte eine Webseite, die viele Versionen von WannaCry daran hinderte, Dateien auf anderen Computern weltweit zu verschlüsseln. Während Cyberkriminelle in neueren Versionen weiterhin verschiedene unsinnige URLs verwendeten, duplizierten andere Computerforscher Hutchins' Aktionen, indem sie die URLs registrierten, Websites erstellten und WannaCry wirkungslos machten. Innerhalb weniger Tage nach dem ersten Angriff hatte sich der WannaCry-Ransomware-Angriff auf ein Rinnsal verlangsamt. Neuere Versionen von WannaCry vermeiden die Verwendung des Kill Switch.

Die Geschichte von WannaCry

Die NSA entdeckte die Sicherheitslücke SMBv1 bereits einige Monate vor den WannaCry-Angriffen. Anschließend entwickelte sie einen Hack, um das als EternalBlue bekannte System auszunutzen, teilte Microsoft jedoch nicht mit, dass es diese Schwachstelle gefunden hatte. Die Shadow Brokers hackten dann im April 2017 die NSA, stahlen den Code von EternalBlue und brachten ihn in die Öffentlichkeit. Während schon vor den Angriffen im Mai 2017 Versionen von WannaCry im Internet kursierten, nutzten Cyberkriminelle EternalBlue, um es viel gefährlicher zu machen.

Wer steckt hinter WannaCry?

Keine Gruppe hat sich jemals öffentlich zu WannaCry bekannt. Forscher in IT-Sicherheitsunternehmen entdeckten jedoch, dass der in WannaCry verwendete Code Ähnlichkeiten mit dem Code aufwies, der zuvor von der Lazarus Group (die sich auch als Guardians of Peace bezeichnet hat) verwendet wurde. Es wird angenommen, dass diese Gruppe mit der nordkoreanischen Regierung in Verbindung steht und für den Cyberangriff auf Sony Pictures im Jahr 2014 verantwortlich war, als Reaktion auf einen Sony-Film, der die Ermordung des nordkoreanischen Diktators Kim Jong-un zeigte.

Nach mehrmonatigen Ermittlungen beschuldigte die US-Regierung Nordkorea formell, für WannaCry verantwortlich zu sein. Nordkorea wies alle Vorwürfe zurück. Neuseeland, Japan und Kanada schlossen sich den USA an und gaben Nordkorea die Schuld. Später erklärte Großbritannien, dass die USA mit ihrer Einschätzung richtig lagen.

Viele Computerexperten und ausländische Regierungen kritisierten die NSA auch dafür, dass sie Microsoft nicht vorher über die Entdeckung der SMBv1-Schwachstelle informiert hatte. Viele sind der Meinung, dass die NSA Microsoft in aller Stille über das Problem hätte informieren können, ohne es öffentlich zu machen. Der russische Präsident Wladimir Putin machte die amerikanischen Services direkt für das WannaCry-Virus verantwortlich, weil sie EternalBlue geschaffen hatten.

Warum WannaCry funktioniert

WannaCry funktioniert, weil es von mehreren Schlüsselfaktoren abhängt:

Viele Unternehmen verwenden ältere, nicht unterstützte Windows-Betriebssysteme

Viele Unternehmen weltweit, insbesondere in Entwicklungsländern, können es sich nicht leisten, immer wieder neue Software zu kaufen, wenn ein neues Microsoft-Betriebssystem verfügbar ist. Sie können es sich auch nicht leisten, immer neuere Computer mit neueren Microsoft-Betriebssystemen zu kaufen. In vielen Computernetzwerken weltweit werden immer noch Microsoft-Betriebssysteme mit der SBMv1-Schwachstelle verwendet. Infolgedessen ist es für WannaCry ein Leichtes, Computer auf globaler Ebene zu infizieren.

Selbst bei neueren Betriebssystemen versäumen es viele Benutzer und Unternehmen, ihre Systeme regelmäßig zu aktualisieren, wenn Microsoft neue Patches veröffentlicht, um Sicherheitslücken zu schließen

Dies gilt selbst für Unternehmen, die über große Internetsicherheitsoperationen verfügen. Viele führen geschäftliche Bedenken wie Netzwerkausfälle oder die Befürchtung an, dass neuere Patches andere Software unbrauchbar machen können, weshalb sie keine Patches herunterladen.

Viele Unternehmen möchten sich weder die Zeit noch das Geld nehmen, um sichere Backups ihrer wichtigsten Dokumente zu erstellen

Die vielleicht beste Lösung, um sich vor Ransomware wie WannaCry zu schützen, ist ein sicheres Backup-System für Ihre wichtigsten Dokumente. Leider hatten viele der von WannaCry betroffenen Unternehmen dies nicht getan. Sie mussten wesentliche Bestandteile ihres Geschäfts stilllegen, in einigen Fällen sogar ganze Anlagen, oder die Produktion für mehrere Tage unterbrechen.

Die Auswirkungen

Der Einfluss von WannaCry ist weltweit und ziemlich groß. Schätzungen verschiedener Forschungsgruppen gehen von 200.000 bis 250.000 infizierten Computern in 150 Ländern aus. Das Virus betrifft Taiwan, Indien, die Ukraine und Russland, vor allem weil dort ältere Microsoft-Betriebssysteme verwendet werden. Aufgrund von Abwehrmaßnahmen, wie der Entdeckung des Kill Switch durch Marcus Hutchins, sind Länder in Nordamerika weniger betroffen.

Die vielleicht größte Behörde, die vom WannaCry-Virus betroffen war, war der National Health Service in England und Schottland. WannaCry betraf nicht nur Computer, sondern auch Blutlagerkühlschränke, Geräte in Operationssälen und MRT-Scanner. Das Virus zwang den NHS, Tausende von nicht zwingend erforderlichen Krankenhausbesuchen abzusagen, was Millionen von Pfund kostete.

Zu den anderen Organisationen, die von WannaCry betroffen waren, gehörten Polizeistationen in Indien; Universitäten in Griechenland, Kanada und Indonesien; Automobilhersteller in Russland, Rumänien und Japan; FedEx; Krankenhäuser in der Slowakei und Indonesien; die Telekommunikationsnetze Portugals und Saudi-Arabiens; die russische Eisenbahn; und sogar Gerichte in Brasilien. Dies sind nur einige von Hunderten von Unternehmen und Organisationen, die von WannaCry betroffen waren. Während WannaCry nur ein einfaches Lösegeld von $300 bis $600 als Zahlung fordert, wurden die Gesamtkosten für die Unternehmen auf $4 Milliarden an Produktionsausfällen geschätzt.

Verteidigungsreaktion

Zweifellos durch die Ausnutzung früherer Versionen seines Betriebssystems verärgert, hat Microsoft Anti-Ransomware-Tools in Windows 10 und Windows 11 integriert. Dieses Tool ist als kontrollierter Ordnerzugriff bekannt und ermöglicht nur das Herunterladen von geprüften Anwendungen auf Computer.

Ebenfalls wenige Tage nach den ersten WannaCry-Angriffen veröffentlichte Microsoft Patches, um diese Sicherheitslücke in seinen älteren, nicht unterstützten Betriebssystemen zu schließen. Obwohl dies ein ungewöhnlicher Schritt für Microsoft war, hielt das Unternehmen es für notwendig, die Benutzer vor WannaCry zu schützen.

Viele zahlten das Lösegeld nicht. Die Forscher entdeckten, dass der WannaCry-Virus freigesetzt worden war, bevor er vollständig fertig war. Infolgedessen konnten die Cyberkriminellen nicht feststellen, wer das Lösegeld bezahlt hatte, und auch den Zugriff auf die verschlüsselten Dateien nicht wiederherstellen. Außerdem erkannten Regierungs- und Strafverfolgungsbehörden, dass das Bezahlen die Cyberkriminellen nur dazu ermutigte, noch mehr Ransomware zu produzieren, ohne dass die Opfer eine Garantie dafür hatten, ihre Daten bei Zahlung auch wirklich zurückzubekommen.

Ist WannaCry immer noch eine Bedrohung?

Leider wirkt sich WannaCry auch im Jahr 2023 noch auf Computer aus. Viele Sicherheitsexperten sind der Meinung, dass trotz der verheerenden Auswirkungen von WannaCry keine dauerhaften Verbesserungen für die Cybersicherheit erzielt wurden. Viele Unternehmen verwenden nach wie vor ältere Microsoft-Betriebssysteme und haben es versäumt, die Software mit den erforderlichen Patches zu aktualisieren, um WannaCry zu verhindern. Sie haben ihre Mitarbeiter nicht darin geschult, Phishing-E-Mails oder Social Engineering-Angriffe zu erkennen. Viele Unternehmen haben immer noch keine sicheren Backup-Systeme installiert, in der irrigen Annahme, dass dies bei ihnen nie passieren wird.

Strategien zur Bekämpfung von Ransomware

Zwar hat die Zahl der Ransomware-Angriffe in den letzten Jahren stark zugenommen, wie der Report „2024 Ransomware Trends“ zu diesen Angriffen zeigt, aber auch die Strategien zu ihrer Bekämpfung wurden verbessert.

Eine der besten Möglichkeiten zum Schutz gegen Ransomware-Angriffe besteht darin, Mitarbeiter darin zu schulen, die Anzeichen dafür zu erkennen. Mitarbeiter sollten geschult werden, um Phishing-E-Mails mit gefährlichen Anhängen zu erkennen. Ein Computerexperte bemerkte: „Wenn die Menschen die Wahl zwischen tanzenden Pinguinen und Computersicherheit haben, werden sie sich immer für tanzende Pinguine entscheiden.“ Nicht jede Ransomware ist ein Netzwerkwurm. Die meisten Ransomware-Angriffe hängen davon ab, dass Benutzer die Schadanwendung herunterladen.

Die Mitarbeiter sollten auch lernen, Social Engineering zu erkennen, bei dem offiziell klingende E-Mails von vermeintlichen Regierungs- oder Strafverfolgungsbehörden verwendet werden, um Benutzer zum Herunterladen dieser Anhänge zu ermutigen.

Andere Abwehrtools sind etwa sichere Backup-Systeme wie die von Veeam, mit denen Ihre wichtigsten Dokumente gesichert werden und mit denen Sie Ihre Daten innerhalb von Stunden, wenn nicht sogar Minuten wiederherstellen können.

So verhindern Sie WannaCry

Es gibt mehrere Möglichkeiten, um zu verhindern, dass WannaCry Ihren Computer oder Ihr Netzwerk infiziert:

• Aktualisieren Sie Ihr System so, dass es die neuesten Patches enthält
• Installieren Sie spezielle Software, die Ransomware blockiert
• Blockieren Sie Port 445 für zusätzliche Sicherheit. WannaCry nutzt Port 445 für die Kommunikation, was dem Virus dabei hilft, mit der Verschlüsselung von Dateien zu beginnen
• Schützen Sie Ihre wichtigsten Daten mit sicheren Backup-Systemen

So erkennen Sie WannaCry

Die vielleicht beste Methode, um festzustellen, ob sich WannaCry in Ihrem Netzwerk befindet, besteht darin, die Protokolle Ihres Computers und den Netzwerkverkehr zu überprüfen. Zunächst sollten Sie SMBv1 deaktivieren, wenn es noch auf Ihren Computern funktioniert. SolarWinds bietet eine Einführung in die Verwendung Ihrer Serverprotokolle zur Erkennung von WannaCry. Achten Sie auf die Dateierstellung und den ausgehenden Datenverkehr auf Port 445 (einer der Gründe, warum Sie diesen Port blockieren sollten).

So entfernen Sie die WannaCry-Malware

Microsoft bietet jetzt ein Tool zum Entfernen bösartiger Software an. Die Software-Review-Site Geek's Advice hat auch eine Anleitung zum manuellen Entfernen der Software. Es kann jedoch schwierig sein und sollte nicht von jemandem durchgeführt werden, der mit Computersystemen nicht vertraut ist.

So kann Veeam helfen

Es gibt zwar verschiedene Methoden, um die Infektion Ihrer Netzwerke mit dem WannaCry-Virus und anderer Ransomware zu verhindern, ein sicheres Backup-System ist jedoch Ihr letzter und bester Schutz. Veeam Ransom Protection ist von Grund auf sicher. Ein zuverlässiges Backup kann entscheiden, ob Sie nach einem Angriff schnell einsatzbereit sind und Cyberkriminellen keinen Cent zahlen müssen oder ob Sie lange ausfallen und ein hohes Lösegeld zahlen müssen.