Der Ransomware-Angriff WannaCry hat vor ein paar Jahren für viel Aufsehen gesorgt. Aber es scheint, dass es noch nicht ganz vorbei ist.
WannaCry ist ein Ransomware-Kryptowurm, der die berüchtigten WannaCry-Cyberattacken ausgelöst hat. Die Hacker hatten es auf Windows-Computer abgesehen und verlangten Zahlungen in Bitcoins für verschlüsselte Daten. Sie nutzten den von der NSA entwickelten Exploit EternalBlue.
Der Angriff begann am 17. Mai 2017 und betraf über 300.000 Geräte in über 150 Ländern. Während die Lösegeldforderung relativ niedrig war (300 bis 600 Dollar), liegt der Gesamtschaden von WannaCry bei Millionen, wenn nicht sogar Milliarden von Dollar. WannaCry hat den britischen National Health Service erheblich geschädigt, indem es Tausende von Geräten beschädigt hat. Auch andere namhafte Unternehmen wie Renault, FedEx und die Deutsche Bahn waren betroffen. Zu den am meisten betroffenen Ländern gehörten Russland, die Ukraine, Indien und Taiwan.
Im Jahr 2017 gelang es Marcus Hitchins, einem britischen Hacker, den Angriff für einige Stunden zu stoppen, nachdem er den Kill-Switch entdeckt hatte, der die infizierten Geräte daran hinderte, den Angriff weiter zu verbreiten.
Obwohl es keinen offiziell identifizierten Täter gibt, sind sich die USA, Kanada, Neuseeland, Japan und einige andere Regierungen einig, dass Nordkorea der Urheber des Angriffs ist. Die Regierungsexperten stützen ihre Schlussfolgerungen auf Code-Ähnlichkeiten mit der Lazarus Group, einer berüchtigten nordkoreanischen Cyberkriminellen-Organisation. Außerdem gaben koreanische Zeitstempel in den Metadaten der Ransomware Hinweise auf die Herkunft.
WannaCry verschlüsselt deine Daten und fordert ein Lösegeld im Austausch für einen Entschlüsselungsschlüssel. Die Opfer bekommen dann eine Lösegeldforderung mit Anweisungen auf ihren Bildschirmen zu sehen. Wenn sie das Lösegeld nicht zahlen, löschen die Kriminellen die Daten.
Wie bereits erwähnt, nutzte WannaCry die bereits bekannte Sicherheitslücke EternalBlue aus, die von der NSA entwickelt und später von der Gruppe ShadowBrokers bekannt gemacht wurde. EternalBlue nutzte die Implementierung des Windows Server Message Block (SMB) Protokolls aus, das die Kommunikation zwischen verschiedenen Netzwerkknoten ermöglicht. Hacker entdeckten, dass sie dieses Protokoll nutzen können, um manipulierte Pakete mit beliebigem Code einzuschleusen. Obwohl Microsoft einen Patch für die Sicherheitslücke veröffentlicht hat, verbreitete sich die Malware, weil viele Unternehmen ihn nicht rechtzeitig einspielten.
Die Kriminellen schleusen WannaCry auch über die DoublePulsar-Backdoor ein, die auf den Zielgeräten installiert ist. Wenn WannaCry auf dem Computer eines Opfers ankommt, extrahiert es bösartige Anwendungskomponenten wie die App, die deine Daten verschlüsselt und entschlüsselt, Dateien mit Verschlüsselungsschlüsseln und eine Kopie von Tor.
In seinem Inneren überprüft WannaCry zunächst den Kill-Switch-Domainnamen, der zum Blockieren von Schadsoftware verwendet wird. Wenn es ihn nicht findet, beginnt er, die wichtigsten Dateiformate wie doc, mp3 und mkvs zu verschlüsseln. Schließlich versucht es, sich über die EternalBlue-Schwachstelle auf beliebige Computer im Internet und in deinem Netzwerk zu verbreiten.
Trotz der verfügbaren Patches und Informationen ist WannaCry immer noch eine aktive Bedrohung. Auch hier profitiert die Ransomware in der Regel von ungepatchten Systemen. Da wir auch heute noch Fälle von WannaCry erleben, ist es klar, dass das Patchen noch nicht allgemein üblich ist.
Lust auf noch mehr Lesestoff?
Erhalte die neuesten Nachrichten und Tipps von NordVPN.
Hier sind ein paar Tipps, wie du dich vor dem WannaCry-Ransomware-Angriff schützen kannst:
Rundum-Sicherheit für dein Online-Leben. Blockiere Viren, Tracker, schädliche Werbung und mehr mit NordVPN.