Ransomware WannaCry befällt tausende Computer weltweit

[English]Seit dem 12. Mai läuft eine massive Ransomware-Kampagne, der weltweit tausende Rechner dem Erpressungstrojaner WannaCry zum Opfer gefallen sind. Kliniken in England sind im Notbetrieb, Banken haben den Trojaner und auch Firmen und Behörden kämpfen mit dem Befall. Hier einige Informationen, was bisher bekannt ist. Ergänzung: Microsoft patcht Windows XP, Windows Server 2003, Windows 8 (siehe).


Anzeige

Vor einigen Tagen ist mir eine Mail mit einem ZIP-Anhang, der eine gescannte Rechnung enthalten sollte aufgefallen. Nur bekomme ich selten Rechnungen per E-Mail, aber der genannte Absender sagte mir schon etwas. Habe die Mail sofort gelöscht, da deren Quellcode diese als Phishing-Versuch erkennen ließ. Ob es was mit dem aktuellen Angriff zu tun hat? Ich weiß es nicht. Aktuell kämpfe ich hier eher mit Schnupfenviren und habe Freitag flach gelegen. Aber hier eine Übersicht, was Sache ist.

WannaCry, WanaCrypt0r, WannaCrypt, Wanna Cryptor ….

Über die Benennung ist man sich wohl noch nicht einig, die in der Überschrift genannten Namen tauchen wohl in der Berichterstattung auf. Von Malwarebytes habe ich erste Informationen zu dieser Ransomware-Kampagne erhalten.

Zwei Kampagnen

Es handelt sich hierbei um einen sich schnell verbreitenden Ransomware-Typ, der kritische Infrastrukturen lahmlegt. Die Malware ist wohl in zwei Versionen aufgetaucht, wie man bei Bleeping Computer nachlesen kann.

  • Version 1.0: Diese Variante der Ransomware wurde von Malwarebytes bereits am 10 Februar 2017 entdeckt und in einer kurzen Kampagne am 25. März 2017 von Karsten Hahn, GData, beobachtet.
  • Version 2.0: Diese Version wurde erst am 12. Mai 2017 durch Sicherheitsanalysten von MalwareHunter entdeckt.

Genau diese Version 2.0 ist jetzt weltweit für die Infektion der Computernetzwerke verantwortlich. Warum die Ransomware sich wie ein Feuer verbreitet, wird inzwischen auch klar. Die Analysten von Malwarebytes schreiben:

Es existieren starke Indizien dafür, dass er eine bekannte Schwachstelle nutzt, um in Netzwerke einzudringen und sich lateral zu verbreiten. Die besagte Schwachstelle ist Teil eines geleakten NSA Hacking-Tools einer Gruppe namens „The Shadow Brokers“ (Codename „ETERNALBLUE“). Das NSA-Tool verschafft den Angreifern über einen Exploit der SMB & NBT-Protokolle des Windows-Betriebssystems Remote-Zugriff. Malwarebytes-Nutzer sind dank der verhaltensbasierten Ransomware-Erkennungs-Software von Malwarebytes davor geschützt.

In diesem Artikel gehen die Analysten von MalwareBytes auf den Wurm ein, der für die Verbreitung sorgt. Eine eigentlich durch Microsoft am 14. März 2017 gepatchte Sicherheitslücke MS17-010 Security Update for Microsoft Windows SMB Server (4013389) wird durch den Wurm ausgenutzt.

Dies lässt den Schluss zu, dass da eine Menge ungepatchter Systeme betrieben werden. MalwareBytes versucht gerade den ursprünglichen Infektionsüberträger zu identifizieren. Der Angriff scheint, laut deren Sicherheitsforschern, gezielt von statten zu gehen, daher kann es eine Schwachstelle im Netzwerkschutz oder eine sehr effiziente Spear-Phishing-Attacke gewesen sein, die zum Einschleusen verwendet wurde.

Aktuell verbreitet sich die Malware durch infizierte Netzwerke über die EternalBlue-Schwachstelle und infiziert weitere ungepatchte Systeme. MalwareBytes schreibt, dass man die Systeme voll patchen soll und gibt an, dass Konsumerprodukte wie Malwarebytes und Business-Produkte wie Malwarebytes Endpoint Security Schutz bieten. Ach ja, es gibt auch noch die Empfehlung, alte Systeme mit Windows XP einfach auszuschalten. Technische Details könnt ihr bei MalwareBytes nachlesen. Eine ganz gute Dokumentation findet sich bei talosintelligence.com.

Weltweit tausende Systeme betroffen


Werbung

Zwischenzeitlich sind es tausende Systeme, die weltweit durch die Ransomware befallen sind – und das vor dem Wochenende. Die Dateien der befallenen Computer werden verschlüsselt und es wird folgende Meldung angezeigt.


(Quelle: MalwareBytes)

Bisher sind vor allem Krankenhäuser, die NHS in Großbritannien und Telefonica in Spanien betroffen. Bei heise.de lassen sich einige Details nachlesen. Bisher weiß man aus der Presse, dass Spanien, neben der Telefonica, recht heftig getroffen wurde: KPMG, BBVA und Santander, der Elektrizitätsversorger Iberdrola und der Telekommunikationsgroßkonzern Vodafone. In Deutschland ist auch die Bundesbahn betroffen – da fallen Anzeigetafeln aus (siehe z.B. folgender Tweet).

In obigem Foto ist übrigens Windows 7 zu sehen – also ungepatcht. Bei Malwarebytes vermutet man, dass auch Russland, Ukraine und Taiwan mit dieser Ransomware infiziert sind, wie dieser Tweet nahelegt.

Bei Spiegel Online gibt es eine unvollständig Liste betroffener Unternehmen und Länder. Zwischenzeitlich gibt es diese Karte der New York Times, die die Infektionen weltweit anzeigt.

Angriff gestoppt?

Tagesschau.de schreibt hier, dass die Verbreitung der Ransomware (die schreiben von einem Virus) wohl gestoppt sei. Der Betreiber des “@MalwareTechBlogs” fand nach eigenen Angaben einen Web-Domainnamen im Computercode der Schadsoftware und registrierte ihn für wenige Dollar.

Der britische The Guadian hat hier einen Bericht zu diesem Thema veröffentlicht. Sobald eine bestimmte Domain (die hardcodiert ist), aktiv ist, stoppt die Verbreitung der Ransomware. Durch die Registrierung der Domain konnte die Verbreitung also gestoppt werden – bis eine neue Variante herauskommt.

Ergänzung: Microsoft patcht Windows XP, Windows Server 2003, Windows 8

Microsoft hat auf die massive Verbreitung von WannaCrypt reagiert und Sicherheits-Updates für Windows XP, Windows Server 2003 und Windows 8 herausgebracht. Die Information findet sich im MSRC-Blog. (via) Ich habe die Details im Blog-Beitrag WannaCrypt: Updates für Windows XP, Server 2003 & Co. behandelt.

Finale Gedanken

Die Ransomware-Kampagne ist wohl unverhofft erfolgreich und zeigt mir, auf welch wackeliger Infrastruktur die aktuelle IT in den Firmen unterwegs ist. Da fallen mir nur noch der Artikel von heute Nacht Microsoft: Volldampf in Richtung Big Brother? und die Sirenenklänge in Richtung totaler Vernetzung für Industrie 4.0 ein, wo ein immer schneller, immer größer, immer umfassender Ansatz propagiert wird. Wer da nicht mitmacht, ist outdated. Ob ein weiter so da funktioniert? Ich habe meine Zweifel.

Und noch ein Gedanke: Es wäre so langsam an der Zeit, die Verantwortlichen zur Rechenschaft zu ziehen. Wer Anzeigetafeln bei der Bahn oder die kritische IT in Kliniken mit Windows betreibt handelt grob fahrlässig – und das gilt erst Recht für das kommende Windows 10. Wird noch spannend, wenn die ersten IT-Entscheider diesbezüglich an den Hammelbeinen gegriffen werden.

Ähnliche Artikel:
WannaCrypt: Updates für Windows XP, Server 2003 & Co.


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

27 Kommentare zu Ransomware WannaCry befällt tausende Computer weltweit

  1. deo sagt:

    Sicherheitspatches unverzüglich installieren, hätte geholfen. Aber die mit der kritischen Infrastruktur, die es ganz hart trifft, spielen erst ein, nachdem sie von der eigenen IT freigegeben sind. Das ist ein unkalkuliertes Risko geworden. Man kennt das ja, solange alles gut gegangen ist, ändert man nichts. Und jetzt ist auch die NSA wieder angeschmiert und alle, die sich gerne als Verbündete sehen.
    Da macht es sich nicht gut, das System zu hinterfragen, solange man mit den Wölfen heulen muss.

    • Günter Born sagt:

      Ich möchte nicht wissen, wie viele Windows XP-Systeme da noch werkeln. Und zukünftig wird das ein Spass mit Windows 10 – wenn die Systeme sich in den Firmen nicht per Feature Update aktualisieren lassen – nach 18 Monaten ist Support-Ende.

      OK, die Patches für die genannten Windowse sind draußen

  2. David Teichfloh sagt:

    …”und zeigt mir, auf welch wackeliger Infrastruktur die aktuelle IT in den Firmen unterwegs ist”..

    Gut gesagt – und leider richtig. Aber wir solle ja “alles” dem Internet anvertrauen – es ist ja so sicher!
    Danke für den erhellenden Beitrag.

    • Nils sagt:

      Es zeigt aber eben auch, dass man sein Betriebssystem immer mit aktuellen Updates versorgen sollte.

      Und eben keine Betriebssystem einsetzen sollte, für die es eigentlich keine Updates mehr gibt…. Stichwort Windows XP

  3. Nobody sagt:

    Erstaunlicherweise sind einige Methoden, einen Angriff mittels Ransomware abzuwehren kaum Thema. Hilfreich sollte sein, das Programm, mit dem man die Mails öffnet in einer Sandbox laufen zu lassen.

  4. Frank Bell sagt:

    Hallo,

    warum finde ich bei Microsoft nur einen Patch für XP, Windows 8 und Server 2003???

    WO ist der Patch für Windows 7???

  5. Werbung

  6. Dekre sagt:

    Zur Info – Da oben @Günter auf Malwarebytes verwiesen hat Nachfolgendes:
    Malwarebytes Home Premium ist am 11.05.2017 in der neueren Version 3.1.2.1733 erschienen. Das ist hier im Forum vom Malwarebytes nachzulesen:
    https://forums.malwarebytes.com/topic/200634-malwarebytes-31-now-available/
    Der Downloadlink ist dort angegeben.
    Ansonsten geht es auch über diesen Link von Malwarebytes:
    https://de.malwarebytes.com/

    Hinweis: Die Kinderkrankheiten von der Version 3.x sind beseitigt. Bei mir funktioniert es mit Win7 prof. bei allen PCs gut.
    Grüße

  7. Tim sagt:

    “Die besagte Schwachstelle ist Teil eines geleakten NSA Hacking-Tools einer Gruppe namens „The Shadow Brokers“ ”

    Hieß es nicht, das geleakte Material wäre nur alter Kram und dazu passende Lücken schon lange gepatcht? So kann man sich wohl irren…

    • Nils sagt:

      Warum, die Lücke ist doch schon lange gepatcht. Um genau zu sein seit März. Stimmt doch also.

      Dass es da noch diverse Anwender und Institutionen gibt, die noch XP einsetzen ist ein anderes Thema.

  8. Tim sagt:

    “Wird noch spannend, wenn die ersten IT-Entscheider diesbezüglich an den Hammelbeinen gegriffen werden.”

    Wie soll das mangels geeigneter Alternativen jemals passieren?

    WIndows ist kein allgemein weltweit schützenswertes Kulturgut, sondern das was die Firma MS uns vor die Füße wirft und womit dann praktisch alle Weltweit arbeiten und Geld verdienen. Die paar Prozente an Exotensoftware sind doch Spielkram dagegen.

    Für was soll ein IT-Entscheider sich denn “entscheiden”?
    Ob man nun will, oder nicht, welcher Weg führt auf die schnelle sofort an Windows vorbei?
    Die Hersteller und Entwickler betonen es immer wieder… mit Linux beispielsweise verdient man nix. Oder der Service ist zu teuer. Apple bei aller Liebe ist auch kein Windows Ersatz.

    Hier

    https://www.youtube.com/watch?v=j2Hu6Owl6X8

    bringt man es auch mal wieder im Nebensatz auf den Punkt. Die Windows Geräte Welt wird im Bereich Linux, wie schon gefühlt ewig, am besten unterstützt, wenn man Geräte nutzt, die auch die Entwickler nutzen, weil die dann zum reinen Eigennutz entwickeln, damit ihr Werkzeug mehr oder weniger mit Linux funktioniert.

    Spielen wir mal in der Theorie durch, das Microsoft Windows von heute auf morgen einstampft und die die Lizenz zur Nutzung zurückzieht…
    Was passiert dann? Was gibts da zu entscheiden? Fangen wir das mit Mac und Linux auf? Oder den mobilen Geräten? Das wäre sicher lustig…

    Die Frage müsste vielleicht eher lauten, wann Microsoft an den Hammelbeinen gegriffen wird… oder wurden die schon verstaatlicht im Sinne und zum Nutzen der USA?

  9. Dieter Schmitz sagt:

    Ich warte jetzt nur noch auf den Spin, der dazu führt, dass wieder einmal Putin der Schuldige ist.

    Solche eine Fake News wird unsere hochbezahlte Systempresse doch wohl hinbekommen, oder?

    • Dekre sagt:

      Etwas Sachlichkeit würde helfen. Deshalb mein Kommentar = Ohne Kommentar! Ansonsten musst Du auf eine andere Plattform wechseln auf denen Du dafür Schulterklopfer bekommst.

    • Uwe sagt:

      Auch wenn wir hier kein politisches Forum sind, möchte ich schon darauf hinweisen, dass der abwertende Begriff “hochbezahlte Systempresse” klar aus der extremen politischen Ecke kommt und die Verbindungen zu Putin dort besonders eng und herzlich sind. Wenn der Schreiber darauf stolz ist, meinetwegen. Unsere Pressefreiheit ist ein hohes Gut und funktioniert bei aller berechtigten Kritik sicher besser als bei Putin, Erdogan oder Trump. Was bleibt ist der kluge Hinweis, dass Putin nicht für alle Weltprobleme und Computerprobleme dieser Welt (mit)verantwortlich sein kann.

    • RPMX sagt:

      Lieber Dieter. Nehm einfach endlich Deine Pillen und das regelmäßig, dann wird es auch besser mit Deinem Verfolgungswahn. Gute Besserung und freundliche Grüße.

  10. Stefan sagt:

    Können sich Windows-PCs, die im Internet hängen, ohne menschliches Zutun infizieren? Falls ja, wie genau?

  11. sandy sagt:

    Vielen Dank für den guten Beitrag und gute Besserung für Sie! Es ist echt schlimm, wie rasant sich solche Infektionen bzw. Würmer doch verbreiten und dass es anscheinend immer wieder Mittel und Wege gibt, sie ins Laufen zu bringen und damit sogar Krankenhäusern zu schaden, wodurch letztendlich möglicherweise sogar Menschenleben gefährdet werden. :-( Was ist das nur für eine Zeit geworden?

  12. Habe heute einen Neukunden bekommen dank WannaCrypt, der bis dato mit einem SBS 2011 online war, ohne Firewall, ohne Virenschutz!
    Zudem mit offenen Ports, die online überhaupt nichts zu suchen haben, eigentlich ein Wunder, dass die Kiste erst gestern gekapert wurde.
    So professionell wie das ganz aufgesetzt war, war auch eine Datensicherung nicht notwendig!
    Fazit, die 300 US$ zahlen war/ist angesagt.
    Was ich nun gerne in die Runde fragen würde, hat schon jemand Erfahrungen mit WannaCrypt gemacht, vor allem wie schnell der Entschlüsselungskey übermittelt wird?
    Nach 4 Stunden ist noch immer kein Key rübergekommen und die Meldung, dass man am Besten Werktags zwischen 9-11 Uhr nachsieht, hört sich nach Hackern mit Beamtenstatus an ;-)
    Während bei Crypr0L0cker der Key einige Sekunden nach dem Einzahlen zur Verfügung steht, dürfte hier noch Handarbeit, bei der Freischaltung dahinterstecken, oder?

    • Nils sagt:

      Vielleicht kommt auch gar keine Freischaltung…. aber vielleicht haben die ja eine Garantie- oder Beschwerdeabteilung

    • Dekre sagt:

      Im Radio – Deutschlandfunk – sagte jemand zahlen. Das kann nicht die Lösung sein. Es gibt wohl Entschlüsseler, mal gucken. Dann sagte der Mensch im DRadio auch, dass es auch verloren ist und man kein Freischaltcode bekommt. Also nichts genaues weiß man nicht. Ich denke, dass es in paar Tagen ein Entschlüsselungsprogramm geben wird. Sieht man nun den Ausmaß, so wird wohl kein Schlüssel mehr kommen. Das muss Dein Klient wissen. Ich gehe aber davon aus, dass es – wie immer – ein Entschlüsselungsprogramm geben wird, nur wann; ich denke in 2 bis 3 Tagen. War immer so.

      • Tischplatte sagt:

        Ich bevorzuge die Methode Festplatte raus neue Platte rein Neuinstallation und fertig, dann kommt auch nichts mehr, und Wenn es kein Backup gibt, selber Schuld. Das ist die sicherste Möglichkeit das Problem zu lösen. und wenn der Speicher verlötet ist gehen die Rechner zum Hersteller zurück, Am besten ist es natürlich sich keinen Virus ein zu fangen. Heut zu tage werde einfach zu viele faule Kompromisse gemacht. Das so viele Rechner an kritischen Stellen noch mit XP laufen ist unverantwortlich. Noch schlimmer finde ich jedoch das die Betriebssysteme so sicher wie ein Teesieb sind. Also ich währe dafür die Hacker in ein Arbeitslager zu schicken und arbeiteten zu lassen bis diese fertig sind.

  13. werner sagt:

    Mit welchem BS laufen eigentlich Geldautomaten? Mir ist in Erinnerung, dass diese zumindest teilweise, auch mit XP noch vor sich hin gondeln? Oder wurde in der Zwischenzeit etwas geändert?
    Muss man zukünftig auf den alten vergilbten Geldautomat Monitoren damit rechnen auch mit so einer Botschaft beglückt zu werden?
    Horror Szenario: die Verschlüsselungs Botschaft erscheint auf dem GA Monitor nachdem man seine PIN eingab, das Geld wird automatisch zur Entschlüsselung vom jeweiligen Konto abgebucht.

  14. Sander sagt:

    Erstaunlich an der Sache ist nur eines: Dass es bis Mai 2017 gedauert hat, bis Windows XP “weggewurmt” wurde.
    Das bedeutet, dass XP immerhin noch gut drei Jahre über sein offizielles “Verfallsdatum” hinaus frisch geblieben ist.
    Ich hätte mit einem derartigen Vorfall schon im Laufe des Jahres 2014 gerechnet.
    Dass das 16 Jahre alte XP, welches seit drei Jahren nicht mehr gepatcht wird, vielleicht ein kleinwenig unsicher sein könnte, sollte ja jetzt wohl niemanden überraschen ;)

  15. Lewitz sagt:

    Manche Überweisungsterminals bei der Raiffeisenbank liefen / laufen sogar noch mit OS/2 ! Das habe ich selbst als Kunde nur durch Zufall festgestellt, als so ein Gerät mal abgestürzt war und es neu hoch bootete. Was auf den neueren Terminals läuft, weiß ich auch nicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.