Seit vergangenen Freitag infiziert die unter anderem als “WannaCry” (auch WannaCrypt, WanaCrypt0r 2.0, Wanna Decryptor) bekannte Ransomware hundertausende Computern weltweit. Bereits am ersten Tag wurde sogar in der Tagesschau darüber berichtet, mittlerweile sind die Medien voll von Berichten, Analysen, Kommentaren und Ratschlägen.

Dieser Blogpost soll eine informative Übersicht über hilfreiche und lesenswerte Artikel geben, da dieses Thema bereits ausführlichst auf allen Kanäle diskutiert wurde und wird. Zunächst sollte sich der Leser aber dringend mit folgenden zwei Fragen befassen:

• Ist auf dem eigenen Computer (oder der seiner betreuten Verwandten und Freunde) eine Version von Microsoft Windows installiert? Falls ja, dann umgehend – sofort! – das Microsoft-Sicherheitsupdate MS17-010 einspielen. Details dazu liefert auch der National Security Officer Michael Kranawetter von Microsoft im Blogeintrag “WannaCrypt: Microsoft schützt auch ältere Windows-Versionen”. Und ja, zukünftig immer Sicherheitsupdates sobald wie möglich einspielen. Ernsthaft.
• Verfügt man über ein aktuelles Backup aller wichtigen Dateien? Falls nein, dann umgehend eine vollständige Sicherung auf ein externes Medium (USB-Festplatte, NAS, Blu-ray, Diskette) erstellen und sich dies zukünftig zur Gewohnheit machen. Wirklich.

Viele Medien, wie auch die Tagesschau, berichtete anfangs recht undifferenziert über einen “Cyberattacke” auf NHS Krankenhäuser, die Deutsche Bahn oder Renault. Dem Wortlaut folgend wird ein gerichteter Angriff suggeriert. D.h. der Angreifer hat es explizit auf die genannten Organisationen abgesehen und möchte ihnen Schaden zufügen. Ein klassisches Beispiel hierfür ist die Denial-of-Service-Attacke, in der eine Webseite bzw. ein Dienst solange mit Anfragen überhäuft wird, bis diese alle Viere von sich streckt und nicht mehr erreichbar ist. Im Gegensatz dazu verfolgt Ransomware – wie in dem aktuellen Fall von “WannaCry” – ein ganz anderes Ziel: Durch Erpressung so viel Geld wie möglich zu verdienen. Dabei nützt sie Schwachstellen (Sicherheitslücken) in Betriebssystemen oder Anwendungen aus, um ihre Schadsoftware erst einspielen und anschließend weiterverbreiten zu können. Ist dies gelungen, werden die betroffenen Benutzer erpresst. Die eingenistete Ransomware verschlüsselt die Nutzerdaten und nur der Erpresser hat den Schlüssel. Wird das Lösegeld nicht gezahlt, droht zumeist der unwiderrufliche Verlust der gekaperten Daten.
Der Angriff an sich ist also ungerichtet, d.h. er zielt nicht auf bestimmte Organisation oder Individuen ab. Potentiell gefährdet sind all diejenigen, die ein Betriebssystem bzw. Anwendung nutzen, in der die Sicherheitslücke noch nicht geschlossen wurde.

Spätestens jetzt sollte jedem klar sein, warum die umgehende Installation von Sicherheitsupdates und das regelmäßige Erstellen von Backups unter anderem auch deshalb so wichtig ist. Aber nun zu den Artikeln:

• Das Wichtigste auf spiegel.de: “Die Lehren aus dem weltweit größten Angriff mit Erpressungssoftware” von Linus Neumann
• Kontext zu den Betriebssystemen von Microsoft auf zeit.de: “Microsoft ist Opfer des eigenen Erfolgs” von Patrick Beuth
• Bisher Betroffene laut golem.de: “Wo die NSA-Exploits gewütet haben” von Hauke Gierow
• Bisherige Einnahmen der Erpresser laut zeit.de: “Großer Schaden für 31.000 Dollar” von Kai Biermann
• Technische Details bei malwarebytes.com und endgame.com (EN): “The worm that spreads WanaCrypt0r” von Zammis Clark und “WCry/WanaCry Ransomware Technical Analysis” von Amanda Rousseau
• Visualisierung der weltweiten Verbreitung bei malwaretech.com (EN): “Wcrypt Tracker & Infection Map”
  Man beachte: Die Daten basieren ausschließlich auf infizierten Computern, die direkt mit dem Internet verbunden sind oder waren. Betroffene Rechner, die keine Verbindung zum Internet haben und hatten, können durch die Zählung nicht erfasst werden. D.h. die Gesamtzahl betroffener System ist vermutlich deutlich höher.

Auch wenn es in den verlinkten Artikeln bereits deutlich gesagt wurde: Abgesehen von den kriminellen Erpressern an sich, die vermutlich recht überrascht über die massive Ausbreitung und Auswirkung ihrer Schadsoftware sein dürften, ist die Perversität an der Sache eine ganz andere. Das Wissen über die Schwachstelle und darauf basierende Einfallswege können recht eindeutig dem Waffenarsenal der NSA zugeordnet werden (Sichwort: “Eternalblue” oder “Shadow Brokers”). Die Regierungsorganisation hatte seit Jahren Kenntnisse über diese Sicherheitslücke und darauf basierende Angriffsmöglichkeiten. Jedoch hat sie diese geheim gehalten, gegenüber Microsoft, den betroffenen Nutzern und eben auch gegenüber ihren eigenen Landsleuten … by the way, um sie weiterhin vermeintlich exklusiv für ihre höchst fragwürdigen Ziele einsetzen zu können. Damit wurde billigend in Kauf genommen, dass es irgendwann zwangsläufig zu einem Angriff mit solch weitreichenden Konsequenzen kommen wird. Erinnert ein bisschen an den Film “Outbreak – Lautlose Killer” mit Dustin Hoffmann, in der eine Stadt von einem scheinbar unbekannten Virus befallen wird, ein Gegenmittel im geheimen Arsenal des Militärs vorhanden ist, aber nicht herausgegeben wird, um den Erreger weiterhin als Biowaffe nutzen zu können. Bis der Virus mutiert und selbst das vorenthaltene Virostatikum nicht mehr wirksam ist. Aber das war nur ein Virus biochemischer Natur und rein fiktiv.

Im Fall von “WannaCry” – ein Cyber-Virus und äußerst real – konnte die Verbreitung durch die eher zufällige Entdeckung eines Notausschalter vorerst gestoppt werden. Details dazu hat der Entdecker, der Sicherheitsexperte hinter MalwareTech, auf seinen Blog gepostet: “How to Accidentally Stop a Global Cyber Attacks”.

Unterdessen gibt es widersprüchliche Meldungen zu kursierenden neuen Varianten der Ransomware, die angeblich nicht mehr auf den Notausschalter reagieren sollen. Dies konnte bisher, zumindest laut Costin Raiu von Kaspersky, nicht bestätigt werden.

Update 16.05.2017: Unter anderem heise.de berichtet am heutigen Tag über einen Trojaner names “Adylkuzz” der den gleichen Einfallsweg wie WannaCry nutzt. Der Schaden für die Betroffenen ist jedoch nicht so schwerwiegend wie im Fall der Randsomware. Adylkuzz scheint direkt hinter sich das Einfallstor zu schließen, so dass der Rechner nicht für weitere, gleich geartete Angriffe verwundbar ist. Sodann versucht er, unter Ausnützung der Rechenleistung des befallenen Systems Kryptogeld der Währung “Monero” zu scheffeln. Laut der Sicherheitsforscher von Proofpoint ist der Trojaner bereits seit längerem aktiv und könnte nach ersten Abschätzungen deutlich mehr Rechner infiziert haben als WannaCry.

Update 19.05.2017: Mittlerweile gibt es erste Ansätze, die durch WannaCry verschlüsselten Daten selbstständig wiederherzustellen, ohne auf die Zahlung des Lösegelds angewiesen zu sein. Voraussetzung ist, dass der Computer nach der Infektion nicht neu gestartet wurde und der durch die Ransomware genutzte Arbeitsspeicherbereich nicht durch andere Anwendungen überschrieben wurde. Wer an mehr Details interessiert ist, dem ist Bolgeintrag “WannaCry — Decrypting files with WanaKiwi + Demos” von Matt Suiche zu empfehlen. Die Tools heißen “Wannakey” und “wanakiwi”.