Andere Malware nutzte von WannaCry verwendete NSA-Exploits bereits früher aus

Der bei der Firma Proofpoint beschäftigte Sicherheitsforscher Kafeine hat darauf hingewiesen, dass WannaCry nicht die erste Malware war, die vom US-Auslandsgeheimdienst entwickelte Exploits für eine Sicherheitslücke im Netzwerkprotokoll Server Message Block (SMB) ausgenutzt hat. Seit 24. April sei bereits eine Adylkuzz genannte Mining-Malware für die Kryptowährung Monero aktiv. Sie arbeitet zwar unauffälliger, könnte ersten Zahlen zufolge aber sogar weiter verbreitet sein als WannaCry.

Malware (Bild: Shutterstock/Blue Island)

Adylkuzz arbeitet der Analyse zufolge mit zwei durchgesickerten NSA-Exploits. Neben dem EternalBlue genannten Exploit für die auf SMB-Lücke kommt auch die Backdoor DoublePulsar zum Einsatz. Damit sei die Malware bei der Infektion ungepatchter Windows-Rechner außergewöhnlich effektiv. Allerdings bietet Microsoft für unterstützte Betriebssysteme bereits seit März einen Patch für die Sicherheitslücke in SMB an.

Bei der Untersuchung der WannaCry-Angriffe setzte Proofpoint einen Laborrechner dem EternalBlue-Angriff aus. Statt mit WannaCry war der Rechner kurz darauf von Adylkuzz infiziert. “Wir haben den Versuch mehrfach wiederholt, jeweils mit demselben Ergebnis: innerhalb von 20 Minuten wurde ein mit dem Internet verbundener anfälliger Rechner dem Adylkuzz-Botnet hinzugefügt”, schreibt der Sicherheitsforscher.

Adylkuzz verbreite sich allerdings nicht wie WannaCry über anfällige Rechner im selben Netzwerk, sondern scanne das Internet über den TCP-Port 445 nach möglichen Zielen. “Nach der erfolgreichen Ausnutzung von EternalBlue werden die Systeme mit DoublePulsar infiziert. Die Hintertür lädt dann Adylkuzz von einem anderen Host herunter und führt die Malware aus”, so der Forscher weiter.

Gegenüber ZDNet USA spekuliert Kafeine sogar, dass Adylkuzz möglicherweise eine größere Verbreitung von WannaCry sogar verhindert habe. Die Malware unterbinde nämlich, nachdem sie sich erfolgreich eingenistet hat, jegliche SMB-Kommunikation: “Sobald Adylkuzz auf einem Rechner ausgeführt wird, kann der Rechner nicht mehr durch WannaCry über SMB und WannaCrys Wurm-Funktionen infiziert werden.”

Ausgewähltes Whitepaper

Fünf wichtige Aspekte bei der Auswahl eines Wide Area Networks

Erfolgreiches Netz-Design kann die Produktivität deutlich verbessern und neue Chancen für die digitale Geschäftsentwicklung eröffnen. Ein unzureichend dimensioniertes WAN hemmt dagegen das produktive Arbeiten und führt zu Frustration bei Mitarbeitern, Lieferanten und Kunden. In diesem Whitepaper erfahren Sie, worauf es zu achten gilt.

Die Schweizer Sicherheitsfirma Binary Edge hatte bereits im April Aktivitäten bemerket, die darauf hindeuteten, dass Dritte die bei der NSA entwendete Backdoor Doublepulsar ausnutzen. Demnach wurden ab 21. April innerhalb weniger Tage fast 80.000 IP-Adressen infiziert. Die Gesamtzahl der befallenen Rechner bezifferte das Unternehmen drei Tage später bereits auf über 180.000, davon die meisten in den USA, knapp 500 jedoch auch in Deutschland.

Sowohl die große Zahl als auch die rasche Zunahme infizierte Rechner deutete Experten zufolge darauf hin, dass es sich nicht um Aktivitäten des üblicherweise gezielter und weniger auffällig vorgehenden US-Geheimdienstes handelte, sondern die von ihm entwickelten Exploits von Dritten heruntergeladen, möglicherweise leicht modifiziert und für Angriffe auf ungepatchte Windows-Rechner verwendet wurden.

Uneinig waren sich Experten über die Anzahl der betroffenen Rechner. Die hohen Werte von Binary Edge konnten andere so nicht bestätigen. Spekuliert wurde daher über False Positives durch die verwendete Erkennungsmethode oder Abweichungen, weil die Malware keine Dateien auf die Rechner schreibt und somit nach einem Neustart nicht mehr festgestellt werden kann. Nach den Erkenntnissen von Kafeine könnte es aber auch sein, dass sie sich einfach vor den Forschern verborgen hat, indem sie die genutzte Lücke hinter sich geschlossen hat.

Mehr zum Thema

Wie man gefährliche E-Mails identifiziert

Gefälschte E-Mails enthalten häufig Viren oder andere Angreifer. Oft sollen auch private und sensible Daten gestohlen werden. Anhand weniger Kriterien lassen sich gefährliche E-Mails jedoch schnell erkennen.

Microsoft kündigte damals an, die Berichte zu untersuchen und räumte ein, dass “30.000 bis 107.000 Windows-Maschinen mit Doublepulsar infiziert sein könnten.” Der Konzern warnte, dass diese Rechner dann auch für anderweitige Angriffe anfällig seien.

Dan Tentler, Gründer der IT-Security-Beratungsfirma Phobos Group, hatte damals bereits festgestellt, dass Malware, die die “Doublepulsar”-Lücke ausnutzt, nach der Infektion darauf wartet, dass bestimmte Daten über Port 445 gesendet werden. Dieser Port wird seit Windows XP vom Microsoft Common Internet File System (CIFS) genutzt und sollte Empfehlungen von Sicherheitsexperten zufolge in der Firewall zumindest für eingehenden Traffic blockiert oder zumindest überwacht werden. In der Praxis ist das aber oft nicht der Fall, da er im Zusammenhang mit Datei- und Druckerfreigaben geöffnet wird.

Die Ransomware WannaCry hat sich innerhalb weniger Stunden explosionsartig in nahezu allen Ländern ausgebreitet (Screenshot: silicon.de bei Twitter)

Daher hat auch Trend Micro schon gewarnt, dass WannaCry nicht die letzte Malware sei, die diese Lücke ins Visier nimmt. Das Unternehmen hat bereits eine neue, UIWIX genannte Ransomware entdeckt, die noch ausgereifter sein soll als WannaCry. UIWIX könne beispielsweise virtuelle Maschinen und Sandboxen erkennen um sich so Schutzprogrammen zu entziehen.

Die neue Malware sei in der Lage, Dateien zu verschlüsseln und ein Lösegeld zu erpressen, könne aber auch Anmeldedaten für Websites, E-Mail, Messenger und das FTP-Protokoll ausspähen. UIWIX greiftz keine Ziele in Russland, Weißrussland und Kasachstan an. Dies deutet darauf hin, dass es sich um andere Hintermänner als bei WannaCry handelt. Für WannaCry, das Rechner in nahezu allen Ländern befallen hat, fand Kaspersky Lab Hinweise darauf, dass die sogenannte Lazarus-Gruppe dahinter stecken könnte. Sie wurde durch den Angriff auf die Server von Sony Pictures bekannt. Bisherigen Erkenntnissen zufolge operiert sie von Nordkorea aus.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

21 Stunden ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

22 Stunden ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

2 Tagen ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

2 Tagen ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

2 Tagen ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

3 Tagen ago