Ransomware WannaCry nötigt Microsoft zum Blitz-Patch [Update]

SicherheitSicherheitsmanagement

Die auch als WanaCrypt0r 2.0 bezeichnete Malware ist grundsätzlich seit Februar bekannt. Sie beschränkte sich zunächst auf Angriffe in Russland, China und Taiwan. Seit Freitag nimmt die Zahl der Infektionen jedoch weltweit explosionsartig zu.

IT-Sicherheitsanbieter Avast hat vor einer sich seit Ende der Woche mit bislang unbekannter Geschwindigkeit und Aggressivität ausbreitenden Ransomware gewarnt, die vor allem Firmen ins Visier nimmt. Die von ihm als WanaCrypt0r 2.0getaufte, inzwischen aber auch WannaCry bezeichnete Schadsoftware ist in vielerlei Hinsicht ungewöhnlich.

Mit WannaCry wurden seit Februar zunächst nur sporadisch Systeme in Russland, China und Taiwan angegriffen. Inzwischen liegt sie den Sicherheitsforschern von Avast zufolge aber in 28 Sprachen – “von Bulgarisch bis Vietnamesisch“ – vor. Und mit diesen unterschiedlichen Sprachversionen werden seit Freitagmorgen in immer schneller Folge insbesondere Firmen weltweit angegriffen. Am Freitagabend waren es laut Jakob Kroustek, Malware-Forscher bei Avast bereits über 100.000.

Update 13. Mai 12 Uhr 07: Inzwischen hat auch Microsoft noch einmal dringend geraten, den bereits seit März verfügbaren und schon damals als “kritisch” eingestuften Patch einzuspielen. Außerdem wurden – was ausgesprochen ungewöhnlich ist – auch Sicherheits-Updates für eigentlich nicht mehr unterstützte Betriebssystem – Windows XP, Windows 8 und Windows Server 2003 zur Verfügung gestellt. Das zeigt wohl am eindringlichsten, wie groß die Gefahr eingeschätzt wird und dass die Angreifer offenbar insbesondere Altsysteme in Firmen ins Visier genommen haben. Außerdem wurde der Microsoft-Empfehlung zum Umgang mit der WannaCry-Attacke zufolge Windows Defender um eine Signatur für die von Microsoft als Ransom:Win32/WannaCrypt bezeichnete Schadsoftware ausgeliefert.

Ransomware WannaCry / WanaCrypt0r 2.0 (Screenshot: Avast)

57 Prozent der Opfer stammen zwar aus Russland, wo zum Beispiel der Mobilfunkanbieter Megafon und das Innenministerium betroffen sind, aber auch in Europa hat die Ransomware zugeschlagen. Opfer sind unter anderem zahlreiche Krankenhäuser in Großbritannien und viele Unternehmen in Spanien, darunter auch der Netzbetreiber Teléfonica und auf Twitter verbreiteten Bildern zufolge offenbar auch mehrfach bei der Deutschen Bahn. Die hat das Problem inzwischen bestätigt. Betroffen seien aber lediglich die Fahrgastinformationssysteme in Bahnhöfen. Der Zugverkehr werde durch den Angriff nicht beeinträchtigt.

Die Ransomware verschlüsselt bestimmungsgemäß Dateien auf Windows-Rechnern und versieht sie mit der Dateierweiterung .WNCRY. Sie fordert über ein eingeblendetes Fenster 300 Dollar in Bitcoin. Der Forderung wird durch einen Countdown Nachdruck verliehen: Sollte nicht bezahlt werden, droht die Malware alle Dateien auf dem Rechner zu löschen. Da können dann nur noch Nutzer gelassen bleiben, die regelmäßige Backups durchgeführt haben – so wie das Experten als Präventivmaßnahme gegen Ransomware schon seit langem empfehlen.

Avast zufolge nutzt WanaCrypt0r 2.0 höchstwahrscheinlich einen von der nach Ansicht zahlreicher Experten mit der NSA in Verbindung stehenden Equation Group. Das würde auch erklären, warum die Infektionen sich zunächst auf Russland und China konzentrierten. Üblicherweise halten Cyberkriminelle aus Russland oder China in ihrem Heimatland mit Aktivitäten zurück, um den Behörden dort keinen Anlass für Ermittlungen zu geben.

Die Ransomware WannaCry (respektive WannaCrypt0r) hat sich laut Watchdogs Communications innerhalb weniger Stunden explosionsartig ausgebreitet (Screenshot: silicon.de bei Twitter)
Die Ransomware WannaCry (respektive WannaCrypt0r) hat sich laut Watchdogs Communications innerhalb weniger Stunden explosionsartig ausgebreitet (Screenshot: silicon.de bei Twitter)

Die als ETERNALBLUE oder auch MS17-010 bekannte Schwachstelle wurde neben mehreren anderen Lücken durch den Diebstahl und die Veröffentlichung der Hacking Tools der Equation Group durch eine ShadowBrokers genannte, weitere Gruppe öffentlich bekannt. Der renommierte Sicherheitsforscher Kafeine hat inzwischen bestätigt, dass WanaCrypt0r eine Schwachstelle im File-Sharing-Protokoll Windows SMB (Server Message Block) ausnutzt.

 Twitter-Nutzer haben die Ransomware auch bei Rechnern der Deutschen Bahn entdeckt - hier in Wiesbaden (Screenshot: silicon.de bei Twitter)
Twitter-Nutzer haben die Ransomware auch bei Rechnern der Deutschen Bahn entdeckt – hier in Wiesbaden (Screenshot: silicon.de bei Twitter)

Avast empfiehlt Windows-Nutzern ihre Rechner umgehend auf die neueste verfügbare Version zu aktualisieren. Die eigene Antiviren-Software erkenne und blockiere WannaCry bereits. Das US-Heimatschutzministerium hat angekündigt, betroffenen Firmen bei der Bekämpfung der Malware helfen zu wollen. Später am Freitag kündigte es zudem an, Informationen darüber an einheimische und ausländische Partner weitergeben zu wollen. Für das Ministerium ist das womöglich eine äußerst unangenehme Situation, kämpft es doch möglicherweise gegen Malware, die durch Aktivitäten einer anderen staatlichen Einrichtung der USA erst ermöglicht wurde

Britische und spanische Behörden haben inzwischen einem Bericht der Agentur AP zufolge bei Europol Unterstützung zur Untersuchung der Ransomware-Angriffe angefordert. Die französische Agence nationale de la sécurité des systèmes d’information (ANSSI) – das Pendant zum BSI – hat Internetnutzer dringend aufgefordert, Abwehrmaßnahmen zu ergreifen. Vom BSI liegt aktuelle keine weitere Information vor. Das Bundesamt für Sicherheit in der Informationstechnik hat aber bereits im März vor MS17-010 gewarnt und in der Warnung auch ausführlich beschrieben.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen