Alles, was Sie über die Ransomware WannaCry wissen müssen
Der WannaCry-Ransomware-Angriff von 2017 war eine der am weitesten verbreiteten Computerinfektionen aller Zeiten, und die WannaCry-Angriffe halten bis heute an.
Wichtige Punkte
- Die WannaCry-Ransomware-Epidemie von 2017 legte Krankenhäuser, Banken und Kommunikationsunternehmen weltweit lahm.
- Vier Jahre später versuchten Cyberkriminelle erneut, die Ransomware WannaCry während der COVID-19-Pandemie einzusetzen.
- Unternehmen können Maßnahmen ergreifen, um eine Infektion zu verhindern, wobei Software-Updates am wichtigsten sind.
Die Ransomware WannaCry, die für eine der berüchtigtsten weltweiten Malware-Infektionen aller Zeiten verantwortlich war, wird auch heute noch aktiv von Cyberangreifern eingesetzt. Diesen Monat vor vier Jahren dezimierte sie Netzwerke rund um den Globus, von ganzen Gesundheitssystemen bis hin zu Banken und nationalen Telekommunikationsunternehmen.
Sie ist immer noch tödlich genug, um jetzt eingesetzt zu werden, und die Berichte über ihr Auftreten während der Pandemie haben zugenommen. Hier erfahren Sie alles, was Sie über die WannaCry-Ransomware wissen müssen - und wie Sie Ihr Unternehmen vor ihr schützen können.
Was ist WannaCry Ransomware?
Die Ransomware WannaCry ist ein Krypto-Ransomware-Wurm, der Windows-PCs angreift. Es handelt sich um eine Form von Malware, die sich über Netzwerke von PC zu PC verbreiten kann (daher die "Wurm" Komponente) und dann, wenn sie einmal auf einem Computer ist, wichtige Dateien verschlüsseln kann (der "Krypto" Teil). Die Täter fordern dann Lösegeldzahlungen, um diese Dateien freizugeben. Der Name wurde von Code-Strings abgeleitet, die in einigen der ersten Virenproben entdeckt wurden.
WannaCry wurde als "Studie über vermeidbare Katastrophen" bezeichnet, weil Microsoft zwei Monate, bevor sich der Wurm 2017 erstmals weltweit ausbreitete, einen Patch herausgab, der die Infektion von Computern durch den Wurm hätte verhindern können. [1] Leider wurden Hunderttausende von Systemen nicht rechtzeitig aktualisiert, und eine unbekannte Anzahl solcher Systeme ist auch heute noch anfällig.
Wie infiziert WannaCry Systeme?
WannaCry wäre nur eine weitere Ransomware-Attacke, wenn es nicht um die Art und Weise ginge, wie Computer infiziert werden. Eine kritische Sicherheitslücke in Windows-Systemen wurde entdeckt und Berichten zufolge zuerst von der Nationalen Sicherheitsbehörde der USA ausgenutzt. Das Exploit mit dem Namen EternalBlue wurde schließlich im April 2017 von einer cyberkriminellen Hackergruppe im Internet verbreitet und ermöglichte es den Machern von WannaCry, Windows-Systeme so auszutricksen, dass ihr Code über das Server Message Block-Protokoll ausgeführt wurde.
WannaCry verbreitet sich über Unternehmensnetzwerke, indem es auf andere Windows-Systeme überspringt. Anders als bei Phishing-Angriffen müssen Computernutzer nicht auf einen Link klicken oder eine infizierte Datei öffnen. WannaCry sucht einfach nach anderen anfälligen Systemen, in die es eindringen kann (in einigen Versionen verwendet es gestohlene Anmeldeinformationen), kopiert dann das Programm und führt es aus, wieder und wieder und wieder. So kann ein einziger anfälliger Computer in einem Unternehmensnetzwerk eine ganze Organisation gefährden.
Wie funktioniert ein WannaCry-Angriff?
Das WannaCry-Programm besteht aus mehreren Komponenten. Es gibt ein primäres Lieferprogramm, das andere Programme enthält, darunter Verschlüsselungs- und Entschlüsselungssoftware. Sobald sich WannaCry auf einem Computersystem befindet, sucht es nach Dutzenden bestimmter Dateitypen, darunter Microsoft Office-Dateien sowie Bild-, Video- und Sounddateien. Dann führt er eine Routine aus, um die Dateien zu verschlüsseln, die nur mit einem von außen gelieferten digitalen Schlüssel entschlüsselt werden können.
Die einzige Möglichkeit für einen infizierten Benutzer, auf die mit WannaCry verschlüsselten Dateien zuzugreifen, besteht also darin, eine externe Sicherungskopie dieser Dateien zu haben. Während des ersten WannaCry-Angriffs bestand die einzige Möglichkeit für einige Opfer darin, das Bitcoin-Lösegeld zu zahlen. Leider wurde berichtet, dass die Hacker den Opfern nach der Zahlung durch die Unternehmen keinen Zugriff auf ihre Dateien gewährten.
Woher stammt WannaCry, und ist es noch aktiv?
Im Mai 2017 verbreitete WannaCry Panik in Unternehmensnetzwerken auf der ganzen Welt, als es in kurzer Zeit mehr als 200.000 Computer in 150 Ländern infizierte. Unter anderem wurde der Nationale Gesundheitsdienst des Vereinigten Königreichs unterbrochen, der spanische Telekommunikationsdienst Telefónica war bedroht und Banken in Russland waren gefährdet. Während der Virus scheinbar auf einmal auftauchte, verfolgten Forscher später frühere Versionen zu einer nordkoreanischen Organisation, die als Lazarus-Gruppe bekannt ist.
Im Code von WannaCry waren viele Hinweise versteckt, aber niemand hat jemals die Verantwortung für die Erstellung oder Verbreitung des Programms übernommen. Ein Forscher entdeckte zu Beginn des Cyberangriffs, dass das Programm zunächst versuchte, auf eine bestimmte Webadresse zuzugreifen, die sich als nicht registrierter unsinniger Name herausstellte. Wenn es dem Programm gelang, die URL zu öffnen, konnte WannaCry nicht ausgeführt werden, es fungierte also als eine Art Kill Switch. Folglich registrierte der britische Forscher Marcus Hutchins die URL und verhinderte so effektiv die Verbreitung der WannaCry-Ransomware. [2]
Dennoch gab es in den vergangenen Jahren immer wieder Wellen von WannaCry-Ausbrüchen. Ein aufsehenerregender Fall ereignete sich 2018 bei Boeing. Letztendlich verursachte er mehr Panik als tatsächlichen Schaden, aber die Produktivität des Flugzeugherstellers litt darunter.
Kürzlich haben Sicherheitsforscher erneut WannaCry-Infektionen festgestellt. Einem Bericht zufolge stieg die Zahl der WannaCry-Ransomware im März 2021 im Vergleich zum Januar dieses Jahres um 53 %, während ein anderer Bericht feststellte, dass WannaCry im Januar mit 1.240 Entdeckungen die am häufigsten verwendete Ransomware-Familie in Amerika war. Noch bemerkenswerter ist, dass die neuesten Varianten, die von Hackern verwendet werden, keine Kill-Switch-URL mehr enthalten. [3]
Schutz vor Ransomware
Glücklicherweise kann jedes Unternehmen Maßnahmen zur Cybersicherheit ergreifen, um einen WannaCry-Ransomware-Angriff zu verhindern:
- Installieren Sie die neueste Software: Wenn die drei wichtigsten Wörter in der Immobilienbranche "Lage, Lage, Lage" lauten, lauten die drei wichtigsten Wörter in der Cybersicherheit "Update, Update, Update". Die ursprüngliche weltweite WannaCry-Infektion hätte verhindert werden können, wenn Unternehmen und Privatpersonen ihre Windows-Software aktualisiert hätten. Die Sicherheitslücke, die die Ausbreitung von WannaCry ermöglichte, war von Microsoft zwei Monate zuvor gepatcht worden.
- Backups durchführen: Es ist eine banale Aufgabe, aber eine notwendige, um kritische Daten zu schützen, daher müssen Unternehmen eine Routine für das Sichern von Informationen einrichten. Darüber hinaus sollten Backups extern und getrennt vom Unternehmensnetzwerk gespeichert werden, z. B. in einem Cloud-Dienst, um sie vor Infektionen zu schützen.
- Schulungen zum Bewusstsein für Cybersicherheit: Die Mitarbeiter müssen regelmäßig an gute E-Mail-Gewohnheiten erinnert werden, vor allem jetzt, da immer mehr Arbeitnehmer von unterwegs aus arbeiten. Sie sollten niemals unbekannte E-Mail-Anhänge öffnen und auch nicht auf verdächtige Links klicken.
Die Quintessenz
Obwohl die Ransomware WannaCry bereits vor vier Jahren massive Auswirkungen hatte, ist sie auch heute noch eine anhaltende Bedrohung - ein weiterer Beweis dafür, dass diejenigen, die nicht aus der Geschichte lernen, dazu bestimmt sind, sie zu wiederholen. Glücklicherweise muss Ihr Unternehmen das nicht, wenn Sie Ihre Software und Systeme sorgfältig aktualisieren.
[1] " Drei Jahre nach WannaCry beschleunigt sich Ransomware, während das Patchen immer noch problematisch ist ," Dark Reading
[2] " Marcus Hutchins, Malware-Forscher und "WannaCry-Held", zu einer überwachten Freilassung verurteilt ," TechCrunch
[3] " WannaCry Ransomware-Angriffe steigen seit Januar 2021 um 53% ," NetSec.news
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!