WannaCry

WannaCry war ein weltweiter Ransomware-Angriff im Mai 2017. Ist er immer noch eine Bedrohung? Lesen Sie weiter, um mehr zu erfahren.

.st0{fill:#0D3ECC;} MALWAREBYTES KOSTENLOS HERUNTERLADEN

Auch für Windows, iOS, Android, Chromebook und For Business

Ransomware-Angriffe lassen sich heutzutage kaum noch ignorieren. Laut dem Internet Crime Report des FBI sind die lokalen Beschwerden über solche Bedrohungen im Jahr 2020 um 20 Prozent gestiegen. Weltweit stiegen die Angriffe zwischen 2019 und 2020 um über 60 %. Ransomware-Angriffe nehmen nicht nur zu, sondern sie werden auch immer bekannter.

Lassen Sie Ihr Gerät nicht von Ransomware übernehmen

Stellen Sie sicher, dass Ihr Gerät vor Ransomware geschützt ist.
Testen Sie Malwarebytes Premium kostenlos für 14 Tage.

MEHR LERNEN

Von Ölpipelines und Krankenhäusern bis hin zu Schulen, Banken und Wohltätigkeitsorganisationen scheint keine Organisation vor Ransomware-Angriffen gefeit zu sein. Es sind nicht nur große Unternehmen, die unter diesen Sicherheitsverletzungen leiden. Auch kleine Unternehmen sind Ziel von Ransomware und haben es oft schwerer zu überleben, da ihnen in der Regel weniger Ressourcen zur Verfügung stehen als größeren Unternehmen.

Der weltweite WannaCry-Angriff ereignete sich zwar im Jahr 2017, aber in den Jahren danach sind viele andere Arten von Ransomware aufgetaucht. Werfen wir einen Blick auf WannaCry und warum es ein so bedeutender Cybervorfall war. 

Was war der WannaCry-Ransomware-Angriff? 

"Ups, Ihre Dateien wurden verschlüsselt!"

Im Mai 2017 verbreitete sich die Ransomware WannaCry weltweit über Computer mit Windows. Fast zwei Monate zuvor hatte Microsoft ein Sicherheits-Patch für EternalBlue veröffentlicht, die Sicherheitslücke, die die Angreifer zur Verbreitung der WannaCry-Ransomware nutzten. Viele Nutzer von Windows auf der ganzen Welt hatten ihre Software jedoch nicht aktualisiert oder benutzten veraltete Versionen von Windows und waren daher anfällig für den groß angelegten Angriff. 

Die WannaCry-Angreifer verschlüsselten Windows Computer auf der ganzen Welt und forderten ein Lösegeld im Wert von zunächst 300 Dollar in Bitcoin, später 600 Dollar. In nur wenigen Stunden wurden schätzungsweise 230.000 Computer in 150 Ländern infiziert. Nach einer anfänglich rasanten Ausbreitung auf der ganzen Welt entdeckte der Sicherheitsforscher Marcus Hutchins einen Kill Switch, der die Ausbreitung des Angriffs erheblich verlangsamte. 

WannaCry Ransomware-Infektion Heat Map

Warum war WannaCry so erfolgreich?

Ransomware wie WannaCry verschlüsselt normalerweise Ihre Dateien oder sperrt Ihr System. Anschließend verlangt sie eine Zahlung in Form einer Kryptowährung wie Bitcoin, da solche Währungen schwieriger zu verfolgen sind als elektronische Geldüberweisungen, Schecks oder kaltes Bargeld. WannaCry weist jedoch einige Merkmale auf, die ihn von einem typischen Ransomware-Angriff, über den Sie heute lesen, unterscheiden.

Cybergangs verwenden in der Regel reine Ransomware-Stämme für gezielte Angriffe. Stellen Sie sich das wie Pfeil und Bogen anstelle eines Katapults vor. Ersteres ist am besten geeignet, um ein Ziel auf einmal zu treffen, während Letzteres besser geeignet ist, um mehrere Ziele zu treffen. Die Malware und die kriminelle Bande, die hinter dem Colonial Pipeline-Ransomware-Angriff stecken, hatten es beispielsweise scheinbar nur auf ein Ziel abgesehen. Um die DarkSide-Ransomware einzuschleusen, nutzte die Bande offenbar ein bekanntes Kennwort für ein bestehendes VPN-Konto (Virtual Private Network).

WannaCry hingegen war eher eine Art Katapult. Er machte seinem Namen alle Ehre und infizierte in nur wenigen Stunden Hunderttausende von Computern in über 150 Ländern. Er machte keine Gefangenen und traf über Unternehmensnetzwerke schnell alle Arten von Systemen. Warum also war die Verbreitung des WannaCry-Ransomwurms so groß und erfolgreich?

1. Wurm-Komponente

Ein Wurm ist eine Art von Malware, die Dateien löschen, Bandbreite verbrauchen und sich schnell verbreiten kann, ohne eine Wirtsdatei zu benötigen. Er verbreitet sich selbst, was bedeutet, dass er im Gegensatz zu einem Virus nicht von Menschen aktiviert werden muss, um seine bösartigen Aktivitäten zu starten. Darüber hinaus können Würmer Malware wie Ransomware absetzen. WannaCry verbreitete sich dank seiner Wurmkomponente wie ein Lauffeuer auf Windows PCs.

2. Nutzt

Ein Exploit ist eine ungepatchte Systemschwachstelle, die ein Cyberkrimineller für bösartige Aktivitäten ausnutzen kann. Die Schwachstelle, die WannaCry ausnutzt, besteht darin, wie Windows das SMB-Protokoll (Server Message Block) verwaltet. Kurz gesagt, das SMB-Protokoll ermöglicht die Kommunikation zwischen Netzwerkknoten. Obwohl Microsoft die Schwachstellen im Jahr 2017 gepatcht hat, nutzen Bedrohungsakteure die SMB-Schwachstellen auch heute noch für Trojaner- und Ransomware-Angriffe, da viele Windows Nutzer keine Updates einspielen herunterladen .  

Welche Branchen waren am stärksten von WannaCry betroffen?

Der WannaCry-Angriff verbreitete sich so schnell und infizierte so viele Computer weltweit, dass viele Branchen betroffen waren. Dazu gehören: 

  • Gesundheitswesen
  • Notfall
  • Security
  • Logistik
  • Telekommunikation
  • Gas
  • Benzin
  • Automobilindustrie
  • Bildung
  • Werbung

Wie viele Computer wurden von WannaCry infiziert?

WannaCry hat schätzungsweise 230.000 Computer befallen. Die Malware beeinträchtigte den Betrieb von Krankenhäusern, Notdiensten, Tankstellen und sogar Fabriken. Einige Schätzungen gehen davon aus, dass die finanziellen Kosten des Angriffs in die Milliarden gehen.

Wer hat WannaCry entwickelt?

Die Vereinigten Staaten machen offiziell Nordkorea für den WannaCry-Angriff verantwortlich und haben sogar drei Nordkoreaner wegen der Malware und des Hacks von Sony Pictures Entertainment im Jahr 2014 angeklagt. Interessanterweise könnte auch die NSA (National Security Agency) eine Rolle bei dem WannaCry-Angriff gespielt haben, wenn auch unbeabsichtigt.

Angeblich hat die NSA die SMB-Schwachstelle aufgedeckt, die WannaCry ausnutzt. Später wurde dieses sogenannte EternalBlue-Exploit-Tool angeblich von der Geheimdienstorganisation gestohlen und von der Hacker-Gruppe The Shadow Brokers (TSB) weitergegeben.

Ist WannaCry immer noch eine Bedrohung?

WannaCry ist eine geringere Bedrohung, vor allem dank der Heldentaten von Marcus Hutchins. Der britische Computersicherheitsforscher entwickelte mithilfe von Reverse Engineering und Honeypots einen Kill Switch, der die weitere Ausführung von WannaCry verhinderte. Darüber hinaus hat ein französisches Forscherteam einen Weg gefunden, einige betroffene Computer zu entschlüsseln, ohne ein Lösegeld zu zahlen.

WannaCry ist jedoch immer noch aktiv. Achten Sie darauf, Ihr Windows Betriebssystem regelmäßig zu aktualisieren, um sicherzustellen, dass Sie die neuesten Sicherheits-Patches haben. Sie können sich auch auf die intelligente Anti-Malware-Technologie von Malwarebytesverlassen, um Ransom.WannaCrypt proaktiv zu erkennen und zu entfernen.  

Was macht WannaCry, wenn es nicht bezahlt wird?

WannaCry verlangt 300 Dollar in Bitcoin, nachdem es ein System gesperrt hat. Später verdoppelt es die Erpressungsgebühr. Außerdem droht er damit, Ihre Daten innerhalb von drei Tagen endgültig zu löschen. Hier auf Malwarebytes empfehlen wir Ihnen, nicht an Ransomware-Banden zu zahlen, auch weil dies weitere Ransomware-Banden ermutigt, die nach einer schnellen Möglichkeit suchen, reich zu werden. Außerdem gibt es keine Garantie, dass Sie Ihre Dateien oder Ihren Computer entsperren können. So haben beispielsweise nicht alle Opfer von WannaCry ihre Dateien nach Zahlung der Gebühr zurückerhalten, was möglicherweise auf einen Fehler in der Ransomware selbst zurückzuführen ist.  

Was sind gute Strategien zur Eindämmung von Ransomware?

Verwenden Sie für die Geräte, die Sie zu Hause benutzen, eine Antiviren-/Antimalware-Software, die alle Arten von Schadsoftware abwehrt, einschließlich Schutz vor Ransomware. Für Unternehmen gibt es folgende Strategien zur Eindämmung von Ransomware: 

  1. Verwenden Sie Cybersicherheitssoftware, die Ransomware-Bedrohungen erkennen und blockieren kann. 
  2. Sichern Sie Ihre Daten regelmäßig, und machen Sie bei kritischen Sicherungen eine Pause.
  3. Segmentieren Sie Ihr Netzwerk.
  4. Schließen Sie Sicherheitslücken, indem Sie regelmäßig nach Sicherheitsupdates suchen.
  5. Seien Sie auf der Hut vor Ransomware-Bedrohungsvektoren wie Phishing-E-Mails.
  6. Legen Sie komplexe Passwörter fest und ändern Sie sie regelmäßig.
  7. Schützen Sie Ihr System und wichtige Konten mit Zwei-Faktor-Authentifizierung.

Malwarebytes Anti-Ransomware für Unternehmen

Malwarebytes Endpoint Detection and Response bietet Reaktionsmöglichkeiten, die über bloße Warnmeldungen hinausgehen, einschließlich der proprietären Linking Engine Remediation und Ransomware Rollback.

MEHR LERNEN

WannaCry Artikel von Malwarebytes Labs