Es ist heutzutage schwer, Ransomware-Angriffe zu ignorieren. Laut dem Internet Crime Report des FBI stiegen die lokalen Beschwerden über solche Bedrohungen im Jahr 2020 um 20 Prozent. Weltweit nahmen die Angriffe zwischen 2019 und 2020 um über 60 % zu. Nicht nur, dass Ransomware-Angriffe zunehmen, sie werden auch auffälliger.
Lassen Sie Ransomware nicht Ihr Gerät übernehmen
Stellen Sie sicher, dass Ihr Gerät vor Ransomware geschützt ist.
Testen Sie Malwarebytes Premium 14 Tage kostenlos.
Von Ölpipelines und Krankenhäusern bis hin zu Schulen, Banken und Wohltätigkeitsorganisationen scheint keine Organisation immun gegen Ransomware-Angriffe zu sein. Nicht nur große Unternehmen leiden unter diesen Cyberangriffen. Auch kleine Unternehmen sind Ziel von Ransomware und haben oft größere Probleme, weil sie normalerweise weniger Ressourcen als größere Unternehmen haben, um sich zu erholen.
Obwohl der globale WannaCry-Angriff im Jahr 2017 stattfand, sind im Laufe der Jahre viele andere Arten von Ransomware entstanden. Schauen wir uns WannaCry an und warum es ein so bedeutender Cybervorfall war.
Was war der WannaCry-Ransomware-Angriff?
"Ooops, Ihre Dateien wurden verschlüsselt!"
Im Mai 2017 verbreitete sich die WannaCry-Ransomware weltweit auf Computern mit Windows. Fast zwei Monate zuvor hatte Microsoft ein Sicherheitsupdate für EternalBlue veröffentlicht, das von den Angreifern genutzt wurde, um die WannaCry-Ransomware zu verbreiten. Viele Windows-Nutzer weltweit hatten ihre Software jedoch nicht aktualisiert oder verwendeten veraltete Windows-Versionen, und waren daher anfällig für den groß angelegten Angriff.
Die WannaCry-Angreifer verschlüsselten Windows-Computer weltweit und forderten ein anfängliches Lösegeld von 300 Dollar in Bitcoin, später 600 Dollar. Es infizierte schätzungsweise 230.000 Computer in 150 Ländern in nur wenigen Stunden. Nachdem sich der Angriff zunächst rasant weltweit ausbreitete, entdeckte der Sicherheitsforscher Marcus Hutchins einen Kill-Switch, der die Ausbreitung des Angriffs erheblich verlangsamte.
WannaCry Ransomware-Infektionshitze-Karte
Warum war WannaCry so erfolgreich?
Ransomware wie WannaCry funktioniert typischerweise dadurch, dass sie Ihre Dateien verschlüsselt oder Ihr System blockiert. Danach fordert sie eine Zahlung in Form einer Kryptowährung wie Bitcoin, da solche Währungen schwerer nachzuverfolgen sind als elektronische Geldüberweisungen, Schecks oder Bargeld. Allerdings unterscheidet sich WannaCry in einigen Punkten von einem typischen Ransomware-Angriff, von dem Sie heutzutage lesen.
Cyberbanden verwenden normalerweise reine Ransomware-Varianten für gezielte Angriffe. Stellen Sie sich das wie Pfeil und Bogen statt Katapult vor. Ersteres ist am besten geeignet, um ein Ziel nach dem anderen zu treffen, während letzteres besser ist, um mehrere Ziele zu beschießen. Beispielsweise konzentrierten sich das Malware und die kriminelle Bande hinter dem Colonial Pipeline Ransomware-Angriff offenbar nur auf ein Ziel. Um die DarkSide-Ransomware zu platzieren, nutzte die Bande offenbar ein bekanntes Passwort für ein altes Virtual Private Network (VPN)-Konto.
WannaCry hingegen war mehr wie ein Katapult. Es machte seinem Namen alle Ehre, indem es Hunderttausende von Computern in über 150 Ländern in nur wenigen Stunden infizierte. Es machte keine Gefangenen, sondern traf blitzschnell alle Arten von Systemen über Geschäftsräume hinweg. Aber warum war die Verbreitung des WannaCry-Ransomworm so weitreichend und erfolgreich?
1. Wurmkomponente
Ein Wurm ist eine Art von Malware, die Dateien löschen, Bandbreite verbrauchen und sich schnell verbreiten kann, ohne eine Host-Datei zu benötigen. Er breitet sich selbst aus, was bedeutet, dass er im Gegensatz zu einem Virus keine menschliche Aktivierung benötigt, um seine zerstörerische Tätigkeit zu beginnen. Darüber hinaus können Würmer Malware wie Ransomware fallenlassen. WannaCry hat Windows-PCs wie ein Lauffeuer dank seiner Wurmkomponente getroffen.
2. Exploits
Ein Exploit ist eine ungepatchte Sicherheitslücke, die ein Cyberkrimineller für bösartige Aktivitäten nutzen kann. Der Fehler, den WannaCry ausnutzt, liegt in der Art und Weise, wie Windows das SMB (Server Message Block)-Protokoll verwaltet. Kurz gesagt, ermöglicht das SMB-Protokoll den Netzwerknoten die Kommunikation. Obwohl Microsoft die Schwachstellen 2017 gepatcht hat, nutzen Bedrohungsakteure SMB-Schwachstellen auch heute noch für Trojaner- und Ransomware-Angriffe, da viele Windows-Nutzer keine Updates herunterladen.
Welche Sektoren wurden am stärksten von WannaCry getroffen?
Der WannaCry-Angriff verbreitete sich so schnell und infizierte weltweit so viele Computer, dass viele Branchen betroffen waren. Dazu gehören:
- Gesundheitswesen
- Notfall
- Security
- Logistik
- Telekommunikation
- Gas
- Tankstellen
- Automobil
- Bildung
- Werbung
Wie viele Computer hat WannaCry infiziert?
WannaCry infizierte geschätzt 230.000 Computer. Die Malware beeinträchtigte die Abläufe von Krankenhäusern, Notdiensten, Tankstellen und sogar Fabriken. Einige Schätzungen beziffern die finanziellen Kosten des Angriffs auf Milliarden.
Wer hat WannaCry erstellt?
Die Vereinigten Staaten geben offiziell Nordkorea die Schuld für den WannaCry-Angriff und klagten sogar drei Nordkoreaner wegen der Malware und des Hacks von Sony Pictures Entertainment 2014 an. Interessanterweise könnte auch die NSA (National Security Agency) eine Rolle bei dem WannaCry-Angriff gespielt haben, wenn auch unbeabsichtigt.
Angeblich hat die NSA die SMB-Schwachstelle, die WannaCry ausnutzt, aufgedeckt. Später wurde dieses sogenannte EternalBlue-Exploitations-Tool angeblich von der Geheimdienstorganisation gestohlen und von der Hackergruppe The Shadow Brokers (TSB) geleakt.
Ist WannaCry immer noch eine Bedrohung?
WannaCry ist weitgehend weniger eine Bedrohung, dank der Heldentaten von Marcus Hutchins. Der britische Computersicherheitsexperte entwickelte einen Kill-Switch mithilfe von Reverse Engineering und Honeypots, der verhinderte, dass WannaCry weiter ausgeführt wurde. Außerdem fanden ein Team französischer Forscher eine Möglichkeit, einige betroffene Computer zu entschlüsseln, ohne ein Lösegeld zu zahlen.
Dennoch ist WannaCry noch aktiv. Beachten Sie, dass Sie Ihr Windows-Betriebssystem regelmäßig aktualisieren, um sicherzustellen, dass Sie die neuesten Sicherheitspatches haben. Sie können sich auch auf die intelligente Anti-Malware-Technologie von Malwarebytes verlassen, um Ransom.WannaCrypt proaktiv zu erkennen und zu entfernen.
Was tut WannaCry, wenn nicht bezahlt wird?
WannaCry fordert $300 in Bitcoin, nachdem es ein System gesperrt hat. Später verdoppelt es die Erpressungsgebühr. Es droht auch damit, Ihre Daten nach drei Tagen dauerhaft zu löschen. Hier bei Malwarebytes empfehlen wir, Ransomware-Banden nicht zu bezahlen, teilweise weil es mehr Ransomware-Banden ermutigt, die schnell reich werden wollen. Außerdem gibt es keine Garantie dafür, dass Sie Ihre Dateien oder Ihren Computer freischalten. Zum Beispiel haben nicht alle Opfer von WannaCry nach der Zahlung der Gebühr ihre Dateien zurückbekommen, möglicherweise aufgrund eines Fehlers in der Ransomware selbst.
Welche Strategien zur Eindämmung von Ransomware gibt es?
Für die Geräte, die Sie zu Hause nutzen, verwenden Sie Antiviren-/Antimalware-Software, die gegen alle Arten von bösartiger Software, einschließlich Ransomware-Schutz, schützt. Für Unternehmen umfassen Strategien zur Eindämmung von Ransomware:
- Verwenden Sie Cybersicherheitssoftware, um Ransomware-Bedrohungen zu erkennen und zu blockieren.
- Sichern Sie Ihre Daten regelmäßig und verwenden Sie Air Gaps für Ihre kritischen Backups.
- Segmentieren Sie Ihr Netzwerk.
- Schließen Sie Exploits, indem Sie regelmäßig nach Sicherheitsupdates suchen.
- Seien Sie vorsichtig mit Ransomware-Bedrohungsvektoren wie Phishing-E-Mails.
- Setzen Sie komplexe Passwörter und ändern Sie diese regelmäßig.
- Schützen Sie Ihr System und Ihre wesentlichen Konten mit Zwei-Faktor-Authentifizierung.
Malwarebytes Anti-Ransomware für Unternehmen
Malwarebytes Endpoint Detection and Response bietet mehr als nur Warnungen, inklusive proprietärer Linking-Engine-Beseitigung und Ransomware-Rollback.
WannaCry-Artikel von Malwarebytes Labs
- Microsoft veröffentlicht einen Patch, um eine Schwachstelle auf "WannaCry-Niveau" zu verhindern.
- Die Advanced Persistent Threat Akten: Lazarus-Gruppe
- Wie Bedrohungsakteure SMB-Schwachstellen nutzen
- All dieses EternalPetya-Zeug bringt mich zum Heulen (WannaCry)
- Mobile Menace Monday: Fake WannaCry Scanner
- Möchten Sie Ihre Dateien entschlüsseln? Die WannaCry-Lösung, zumindest für einige.
- Wie hat sich der WannaCry-Ransomworm verbreitet?
- Noch mehr Grund zu Heulen? Spezielle WannaCry-Ransomware-Zusammenfassung
- Der Wurm, der WanaCrypt0r verbreitet