Ransomware WannaCry: Noch keine Entwarnung

Ransomware WannaCry / WanaCrypt0r 2.0 (Screenshot: Avast)

Da insbesondere in Firmen zum Anfang der Woche seit dem Beginn der massiven Angriffe mit WannaCry Rechner erstmals eingeschaltet werden, könnte die Zahl der Infektionen wieder ansteigen. Bislang sind laut Europol 200.000 Windows-PCs betroffen. Das erpresste Lösegeld liegt Experten zufolge zwischen 14.000 und 26.000 Dollar.

Die Zahl der Infektionen durch die seit Ende vergangener Woche aggressiv verbreitete Ransomware WannaCry könnte nach Ansicht von Experten zum Wochenanfang noch einmal ansteigen. Sie gehen davon aus, dass viele Nutzer in Firmen am Montagmorgen ihre Rechner erstmals seit der Angriffskampagne am Freitag einschalten.

Das britische National Cyber Security Centre geht zum Beispiel davon aus, dass dadurch “in erheblichem Umfang”, weitere betroffene Systeme bekannt werden, wie The Guardian berichtet.

In Großbritannien sind vor allem Einrichtungen des National Health Service (NHS) betroffen, die offenbar aufgrund knapper Finanzmittel noch zahlreiche Rechner mit Windows XP und Server 2003 benutzen. Einer Sprecherin zufolge haben wahrscheinlich noch nicht alle NHS-Einrichtungen festgestellt, dass es ein Problem gibt. Ein Krankenhausbetreiber im Großraum London, hat dem Bericht in The Guardian zufolge geplante Operationen abgesagt, da Computersysteme nicht einsatzfähig sind. Arztpraxen sollen zudem Patienten nur in dringenden Fällen an Krankenhäuser überweisen.

Ransomware WannaCry / WanaCrypt0r 2.0 (Screenshot: Avast)

Auch Rob Wainwright, Chef von Europol, sagte im britischen Fernsehen: “Ich fürchte, dass die Zahlen wieder ansteigen, wenn die Leute zur Arbeit gehen und am Montag ihre Rechner wieder einschalten”. Zudem sprach Wainwright am Wochenende von mehr als 200.000 Opfern in mindestens 150 Ländern. Als Europol die Ermittlungen aufgenommen hatte, war zunächst von etwa der Hälfte die Rede.

Experten gehen davon aus, dass die Hintermänner von WannaCry trotz des erheblichen Aufsehens, dass ihre Angriffe verursacht haben, bisher vergleichsweise wenig Lösegeld erhalten haben. Die Schätzungen liegen zwischen maximal 26.000 Dollar, wovon zum Beispiel der Sicherheitsexperte Brian Krebs ausgeht und nicht mehr als 20.000 Dollar, wie Tom Robinson gegenüber The Guardian erklärt. Robinson ist Gründer des Sicherheitsanbieters Elliptic, der unter anderem auch im Auftrag britischer und amerikanischer Behörden Bitcoin-Aktivitäten überwacht. Er hat im Zusammenhang mit den am Freitag begonnenen Angriffen bisher drei Bitcoin-Adressen identifiziert.

Die 20.000 Dollar verteilen sich auf zwei verschiedene Ransomware-Versionen, von denen eine bereits im April entdeckt wurde. Die seit Freitag kursierende Variante von WannaCry hat Robinson zufolge bisher nur 14.000 Dollar eingesammelt. Die seien von den Erpressern jedoch noch nicht abgerufen worden. Erst wenn das geschehe, ergebe sich eine Gelegenheit, ihre Spur aufzunehmen. Der restliche Betrag entfällt auf eine frühere, weniger auffällig agierende Variante von WannaCry.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Davon, dass die Geschichte mit WannaCry respektive WanaCrypt0r 2.0 noch nicht ausgestanden ist, geht auch der Sicherheitsforscher Matt Suiche aus. Er hat darauf hingewiesen, dass am Sonntag zwei weitere WannaCry-Varianten entdeckt wurden. Die Ausbreitung einer neuen Variante sei wie am Freitag durch Registrierung einer von den Hackern benutzten Domain unterbunden worden. Die zweite, von Kaspersky Lab gefundene Variante sei nicht voll funktionsfähig. Möglicherweise handelt es sich dabei um die erste, von Trittbrettfahrern in Umlauf gebrachte Version.

Microsoft-Empfehlungen zum Umgang mit WannaCry

Noch am Freitag hat Microsoft erneut dringend geraten, den bereits seit März verfügbaren und schon damals als “kritisch” eingestuften Patch einzuspielen, der die Lücke schließt, die WannaCry ausnutzt. Außerdem wurden sogar Sicherheits-Updates für die eigentlich nicht mehr unterstützten Betriebssystem Windows XP, Windows 8 und Windows Server 2003 zur Verfügung gestellt. Außerdem wurde der Microsoft-Empfehlung zum Umgang mit der WannaCry-Attacke zufolge Windows Defender um eine Signatur für die von Microsoft als Ransom:Win32/WannaCrypt bezeichnete Schadsoftware ausgeliefert.

Die Schwachstelle wird als ETERNALBLUE oder MS17-010 bezeichnet. Es handelt sich dabei um eine Lücke, die neben mehreren anderen durch den Diebstahl und die Veröffentlichung der Hacking Tools der Equation Group durch eine ShadowBrokers genannte, weitere Gruppe öffentlich bekannt wurden. Sicherheitsforschern zufolge , nutzt WanaCrypt0r eine Schwachstelle im File-Sharing-Protokoll Windows SMB (Server Message Block) aus.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.