Was die Schadsoftware „WannaCry“ so gefährlich macht
Noch immer ist das Ausmaß des weltweiten Befalls durch die Schadsoftware „WannaCry“ nicht vollständig klar. Fest steht inzwischen aber, was für die besonders schnelle Verbreitung gesorgt hat. Die Schadsoftware „WannaCry“ ist die erste Kombination von Ransomware (Erpressertrojaner) mit den Fortpflanzungsmöglichkeiten eines Wurmes.
Darauf machte das Computer Emergency Response Team (CERT.at) aufmerksam. Durch das Ausnutzen einer Schwachstelle in Windows-Fileservern konnte die Malware direkt auf diesen aktiv werden und sich so schnell weiterverbreiten.
Fatale Kombination zweier Schädlinge
Sowohl die Ransomware als auch Computerwürmer sind kein neues Phänomen. Die Erpressersoftware wird schon seit Jahren von Verbrechern als „Geschäftsmodell“ genutzt, um Geld zu erbeuten. Die neue zusätzliche Wurm-Funktionalität habe aber zu deutlich schwereren Schadensfällen im Vergleich zu klassischer Ransomware geführt, so die Experten. Waren bisher primär Windows-Clients und die von den Usern schreibbaren Fileshares betroffen, so erreichte „WannaCry“ (auch WanaCrypt0r oder WannaCrypt genannt) auch Systeme, die bisher verschont blieben.
Ungepatchte Windows-Systeme betroffen
Durch die Wurm-Funktionalität sind demnach alle Windows-Fileserver gefährdet, die nicht das Windows-Update MS17-010 Patch eingespielt haben (und auch neu gestartet wurden). Im März wurde dieser Patch nur für die noch gewarteten Windows-Versionen veröffentlicht, damit bekamen etwa Windows XP oder Windows Server 2003 diesen Fix nicht und warem akut gefährdet. Inzwischen hat Microsoft auch einen Patch für ältere Windows-Systeme bereitgestellt.
Hunderttausende Computer in 150 Ländern befallen
Die weltweite Cyberattacke hatte am Wochenende in zahllosen Unternehmen, Universitäten, Kliniken und Behörden erhebliche Schäden angerichtet. Die erpresserische Schadsoftware legte seit Freitagabend in Großbritannien zahlreiche Kliniken lahm. Betroffen waren auch die Deutsche Bahn, der Automobilkonzern Renault, der Telefonriese Telefonica und das russische Innenministerium sowie weitere Großunternehmen. Hunderttausende Computer in 150 Ländern wurden blockiert. Wer hinter der Attacke steckt, ist weiter unklar.
Kaum Infektionen in Österreich
In Österreich wurden nur sehr wenige Systeme befallen. Die Zahl der Infektion liege noch unter 100 Geräten, so Joe Pichlmayr, Chef des heimischen Sicherheitsunternehmens Ikarus Software. Einzig vier Unternehmen - zwei Tankstellen, ein Hotel und ein Technologie-Unternehmen - waren betroffen, berichtete das Bundeskriminalamt (BK).
Debatte: Was tun gegen Cyberkriminalität?
Die Angreifer hatten Computerdaten verschlüsselt und ein Lösegeld verlangt, um die Daten wieder freizugeben. Auf dem Bildschirm infizierter Rechner erschien lediglich die Aufforderung, innerhalb von drei Tagen 300 Dollar (275 Euro) in der Internet-Währung Bitcoin zu überweisen. Sollte binnen sieben Tagen keine Zahlung eingehen, würden die verschlüsselten Daten gelöscht.
Aus den Laboren der NSA gestohlen
Laut Medienberichten wurde die Schadsoftware urprünglich vom US-Geheimdienst National Security Agency (NSA) entwickelt. Unter der Ausnutzung der Windows-Sicherheitslücke wollte der Geheimdienst offenbar eine wirksame Onlinewaffe in der Schublade haben. Nachdem die NSA selbst Opfer eines Hackerangriffs geworden war, gelangten die Informationen aber in die Hände Krimineller, die dann den großangelegten Cyberangriff starteten.
Microsoft kritisierte den Einsatz von Schadprogrammen durch Regierungen. Dieser Angriff sei ein „Weckruf“, so Microsoft-Manager Brad Smith in einem Blog-Eintrag. Er forderte die Regierungen auf, ihre Erkenntnisse über Sicherheitslücken künftig mit den Softwareunternehmen zu teilen, statt für eigenen Zwecke zu nutzen.
Links:
Publiziert am 15.05.2017