Wenn Ransomware Leben gefährdet

WannaCry legt ein Fünftel aller Arztpraxen und Krankenhäuser des britischen Gesundheitsdienstes NHS lahm

Datum
15. Mai 2017
Autor

WannaCry hat weltweit Zehntausende Computer infiziert. Die Ransomware verschlüsselt Dateien, blockiert Rechner und verlangt für die Entschlüsselung Lösegeld. Am schlimmsten hat es britische Krankenhäuser getroffen, die Operationen absagen und Patienten verlegen oder abweisen mussten. Die Angriffswelle konnte nur durch Zufall gestoppt werden.

Was ist WannaCry?

WannaCry ist ein Kryptotrojaner, der alle Dateien auf dem infizierten Computer verschlüsselt. Die Ransomware trägt viele Namen: Wanna Decryptor, WCry, WannaCry oder Wanna Decryptor. Nach der Verschlüsselung erscheint auf dem Bildschirm der Computer eine Nachricht der Hacker und fordert die Opfer auf, ein Lösegeld (Ransom) von rund 300 Euro in Bitcoins auf ein anonymes Konto zu überweisen.

Wie funktioniert WannaCry?

Die meisten Trojaner verbreiten sich über E-Mail-Anhänge, Sicherheitslücken in Webbrowsern oder Datendienste in der Cloud. Nicht so WannaCry. Eine anonyme Gruppe, die sich Shadow Broker nennt, veröffentlichte im April 2017 unter anderem eine Hackersoftware, die sie dem amerikanischen Geheimdienst NSA gestohlen hatte, und machte auf Sicherheitslücken in Windows-Systemen aufmerksam. WannaCry hat sich über diese Sicherheitslücke verbreitet, ohne dass jemand auf einen Link oder einen E-Mail-Anhang klicken musste. Doch WannaCry nutzt, wie andere Ransomware auch, schadhafte E-Mail-Anhänge als Infektionsweg.

Wer ist betroffen?

Weltweit sollen rund 200.000 Computer in rund 150 Staaten infiziert worden sein. Am schlimmsten hat es den National Health Service in Großbritannien erwischt. Ein Fünftel der Arztpraxen und Krankenhäuser des Gesundheitsdienstes musste die Systeme herunterfahren, Operationen verschieben und Patienten verlegen oder gar abweisen. In Deutschland hat WannaCry unter anderem Computer der Deutschen Bahn infiziert, in einzelnen Bahnhöfen beispielsweise erschien die Lösegeldforderung der Erpresser auf den Fahrplanbildschirmen.

Soweit bekannt ist, legte der Kryptotrojaner bis auf die britischen Krankenhäuser keine kritischen Infrastrukturen lahm. Andere Kritis-Betreiber wurden zwar auch angegriffen, offenbar hielt sich aber der Schaden in Grenzen. In Spanien beispielsweise, einem Hauptziel von WannaCry, konnten der Energieversorger Iberdrola und der Telekomkonzern Telefónica ihren Betrieb trotz Angriffen auf das firmeneigene Netzwerk aufrechterhalten.

Wer steckt hinter dem Angriff?

WannaCry ist die zweite Version des Kryptotrojaners. Das legt den Schluss nahe, dass dieselben Hacker hinter dem Angriff stehen wie im Februar 2017 mit WeCry, der ersten Version. Die Hacker verlangten damals ein Lösegeld von rund 200 Dollar.

Ob Shadow Broker hinter dem Angriff steckt, ist unklar. Unklar ist auch, wer Shadow Broker ist. Die Gruppe hat die NSA-Software und die Windows-Sicherheitslücke veröffentlicht. Darum vermutete man anfangs einen NSA- oder CIA-Mitarbeitenden hinter Shadow Broker. Doch als dieser verhaftet wurde, hörten die Veröffentlichungen nicht auf. Die Behörden tappen im Dunkeln.

Wer hat den Angriff gestoppt?

WannaCry hat einen eingebauten Notausschalter. Der Kryptotrojaner versucht, die Website gwea.com zu erreichen, sobald er einen neuen Computer infiziert hat. Wenn der Trojaner diese Seite erreicht, hört er auf, sich zu verbreiten. Falls er sie nicht erreicht, verschlüsselt er die Dateien und verbreitet sich weiter. Offenbar hatten die Hacker diesen Notfallmechanismus eingebaut, falls die Ransomware ein Eigenleben entwickeln sollte.

Die Hacker hatten aber die URL gwea.com nicht registriert. Das tat ein Sicherheitsforscher, der bisher nur als der Mann hinter dem Malwaretech-Blog bekannt ist. Er entdeckte die URL zufällig im Code von WannaCry, registrierte sie für weniger als elf Dollar und leitete sie auf einen Server um. Am Anfang gingen 5000 bis 6000 Verbindungen pro Sekunde ein, dann immer weniger. Weil WannyCry die Website gwea.com erreichen konnte, schaltete sich der Kyptotrojaner einfach aus.

Was ist schiefgelaufen?

Microsoft hat die Windows-Sicherheitslücke, die WannaCry ausgenützt hat, selber entdeckt und schon am 14. März 2017 den Software-Patch MS17-010 veröffentlicht. Dieser Patch hätte die kritische Lücke geschlossen. Aber nur, wenn die Computer regelmäßig aktualisiert werden oder nicht mit einem veralteten Betriebssystem arbeiten. Zum Beispiel mit dem 16 Jahre alte Windows XP, das Microsoft eigentlich seit 2014 nicht mehr unterstützt, aber jetzt ein Patch dafür veröffentlicht hat.

Viele Firmen und Organisationen setzen nach wie vor auf Windows XP, obwohl das Betriebssystem veraltet ist und nicht mehr aktualisiert wird. Zum einen, weil sie Geld sparen können, solange das Programm läuft. Zum anderen, weil sie ältere und bewährte Software einsetzen und fürchten, sie würde mit einer aktuellen Version nicht mehr laufen. Außerdem gibt es für immer mehr alte Programme, die noch laufen, keine Updates mehr.

Learning: Vorbeugen ist besser als heilen

Wer sein Netzwerk und die Computer schützt, muss Schadsoftware wie WannaCry nicht fürchten. Mit diesen Schutzmaßnahmen hätte der Kryptotrojaner keine Chance gehabt:

  • Alle Daten regelmäßig und redundant sichern.
  • Betriebssystem und Applikationen laufend aktualisieren (Patch Management).
  • Virenschutz und Firewall installieren und regelmäßig aktualisieren.
  • Alle Mitarbeitenden für das Thema Informationssicherheit sensibilisieren, damit sie beispielsweise nicht auf einen Link oder einen Anhang in einer E-Mail klicken.

Mit einem Managementsystem für Informationssicherheit betrachten Sie diese Einzelmaßnahmen umfassend und strukturiert. So erkennen Sie erforderliche Schutzmaßnahmen und setzen diese wirtschaftlich um.

Update 15. Mai 2017: WannaCry 2.0

Weitere Varianten des Kryptotrojaners sind im Umlauf. Eine davon mit einem modifizierten Notausschalter, den die Sicherheitsforscher von Comae Technologies bereits betätigt haben. Und eine andere, ohne Notausschalter, bei der glücklicherweise die Schadfunktion defekt ist.

Update 16. Mai 2017: Zahlen oder nicht?

Am Montag ist die Zahl der infizierten Computer laut Europol weltweit auf mehr als 200.000 gestiegen, weil zu Wochenbeginn viele Rechner nach der Infektion erstmals eingeschaltet wurden. Montags wurde auch bekannt, wer der Mann hinter dem Malwaretech-Blog ist, der den Notausschalter (Kill Switch) in WannaCry entdeckt hatte und so den Kryptotrojaner unschädlich machen konnte: Marcus Hutchins. In seinem einzigen Interview (mit der Nachrichtenagentur AP) meinte Hutchins, der Kampf gegen WannaCry sei beendet.

Andere Quellen vermuten, es seien sogar mehr Computer infiziert worden. So Tom Bossert von Homeland Security, der den amerikanischen Präsidenten in IT-Sicherheitsfragen berät. Er geht von 300.000 oder mehr Rechnern aus. Insgesamt hätten die Erpresser aber weniger als 70.000 Dollar Lösegeld kassiert. Laut Bossert sei kein Fall bekannt, wo die Erpresser die Dateien nach der Lösegeldzahlung entschlüsselt hätten. Warum es sich in der Regel nicht lohnt, zu bezahlen, lesen Sie in unserem Artikel „Das Ransomware-Dilemma“.