News

WannaCry – Informationssammlung zur weltweiten Cyberattacke /Update.4

Seit Freitag, dem 12.5.2017 breitet sich ein Crypto-Trojaner, die als „WannaCry“ betitelte Ransomware im Internet aus. Aus diesem Grund, bis zu einer ausführlicheren Analyse, hier eine Sammlung der Informationen aus anderen Quellen:

  • Was ist genau passiert: WannaCry: Angriff mit Ransomware legt weltweit Zehntausende Rechner lahm (Q: heise.de / lokale Kopie) Die betroffenen Systeme werden verschlüsselt und fordern den Geschädigten zur Zahlung eines „Lösegeldes“ in Bitcoins in Höhe von ca. 300$ heraus. Andernfalls droht ein Datenverlust bzw. kann auf die Daten nicht zugegriffen werden
  • Auftreten und Verbreitung: Erstes Auftreten in Russland, Ausbreitung dann vor allem in UK, Frankreich, Spanien, Portugla und USA, kurz darauf weltweite Ausbreitung auf geschätzt mehr als 100.000 Rechner: WannaCry: Was wir bisher über die Ransomware-Attacke wissen (Q: heise.de / lokale Kopie)
    Update (15.5.2017): Mittlerweile wird von mehr als 200.000 Infektionen in mehr als 150 Ländern ausgegangen (Q: heise.de / lokale Kopie)
  • Angriffsvektoren: Die Erstinfektion erfolgt per schadhafter E-Mail. Danach verbreitet sich „WannaCry (..) über eine Sicherheitslücke in Windows Dateifreigaben (SMB). Diese wurde durch einen Exploit namens EternalBlue bekannt, den die sogenannten Shadow Brokers veröffentlicht hatten und der vermutlich aus dem Arsenal der NSA stammt. Microsoft hatte dieses Loch bereits im Rahmen seines März-Patchdays [für aktuelle Windows-Versionen] geschlossen.“ (Q: heise.de / lokale Kopie). Der Bug exisitiert allerdings auch in älteren Windows-Versionen die damit über den Exploit namens „EternalBlue“ angreifbar waren. Demzufolge sind vorallem ältere PC-Systeme mit Windows XP von WannaCry betroffen. Aufgrund des agressiven Befalls wurde durch Microsoft ein Patch für das, eigentlich seit April 2014 nicht mehr unterstützte Windows XP herausgegeben (Q: microsoft.com / lokale Kopie)
    Update (18.5.2017): Bereits vor der Infektionswelle mit WannaCry wurden die dabei ausgenutzten Sicherheitslücken durch einen anderen Trojaner namens Adylkuzz benutzt um Malware zum Errechnen von Kryptogeld zu verbreiten. Dabei gehen Sicherheitsforscher davon aus, dass Adylkuzz etwa gleich stark verbreitet und weiterhin aktiv ist. Eine technische Analyse ist hier bei proofpoint zu finden (lokale Kopie). Darüber hinaus gibt es den IT-Sicherheitsforschern zufolge Ähnlichkeiten zu einer Malware „Lazarus“ von 2016 (lokale Kopie), mit der seinerzeit Banken und Finanzdienstleister wie SWIFT angegriffen wurden. Vergleichbare Exploits der NSA wurden im April durch die Shadowbroker geleakt bzw. zum Verkauf angeboten.
    Update (19.5.2017): NSA-Mitarbeiter („NSA officials“) bestätigen in einem Bericht der Washington Post, das WannaCry tatsächlich auf der NSA-Malware EthernalBlue basiert und die NSA diese, intern selbst als hochgefährlich eingestufte Sicherheitslücke jahrelang geheim gehalten und selbst genutzt hat.
  • Technische Details: Erste technische Analyse der Ransomware: WannaCry ransomware used in widespread attacks all over the world (Q: securelist.com / lokale Kopie)
  • Verlauf: Durch das rasche Ausrollen der Patches für alte Windows-Varianten sowie den Fund eines „Kill-Switches“ (Q: malwaretech.com / lokale Kopie) konnten die Neu-Infektionen und die weitere Ausbreitung durch die Ransomware eingegrenzt werden. Für bereits infizierte Systeme gibt es bisher aber noch keine technische Hilfe.
    Update (21.5.2017): Die Ausbreitung von WannaCry konnte unter anderem durch die Einrichtung und Aktivierung der, im Code von Wannacry als Killswitch entdeckten hinterlegten Domain realisiert werden. Wannacry prüft ob eine Verbindungsanfrage auf die spezifische Domain erfolgreich ist und stoppt die Infektion sowie Weiterverbreitung wenn die Domain existiert. Seit dem 19.5.2017 wird aber exakt gegen diesen Server (Q: wired.com / lokale Kopie), der durch IT-Sicherheitsexperten aufgebaut wurde um den Killswitch zu aktivieren DDoS-Attacken von erheblichen Ausmaß, mutmaßlich aus einem IoT-Botnetz wie seinerzeit Mirai. Sollten die anhaltenden Attacken Erfolg haben, könnte damit die Infektionswelle von WannaCry möglicherweise erneut in Gang gesetzt werden.
  • Schäden: Viele weltweite Unternehmen und öffentliche Einrichtungen berichten von Infektionen ihrer IT-Systeme, darunter die britische Gesundheitsbehörde National Health Service (NHS) und weitere Unternehmen im Gesundheitsbereich, darunter einige Krankenhäuser die für mehrere Stunden nur eingeschränkt arbeitsfähig waren (Q: the Guardian / lokale Kopie). Die Autohersteller Renault und Nissan haben in einigen Werken die Produktion stoppen oder reduzieren müssen (Q: heise Auto / lokale Kopie) . Weitere Beeinträchtigungen haben der spanische TK-Konzern Telefónica sowie der Energiekonzern Iberdrola gemeldet, das russische Innenministerium, der US-amerikanische Versanddienstleister FedEx sowie in Deutschland die Deutsche Bahn. Weitere Brennpunkte sind die Ukraine und Taiwan. Zahlreiche PCs einzelner Nutzer und kleiner Netzwerke gehören ebenfalls zu den Opfern. (Q: heise.de / lokale Kopie)Da sich die Ransomware in einmal infizierten Netzwerken schnell ausbreitet, ist es durchaus schlüssig dass auf diesem Wege vom Einfallstor Arbeitsplatz-PC auch Steuerungsanlagen infiziert werden konnten. Gerade auf diesen laufen noch des öfteren alte Windows-Versionen um Steuerungs-Software die nur für diese Versionen existieren weiter zu betreiben. Anekdotisch hier ein Link zu einem Bericht über Geldautomaten die zum Großteil nach wie vor mit Windows XP betrieben werden (Q: nicht mehr online http://www.mdr.de/nachrichten/vermischtes/geldautomat-virus-skimmer100.html / lokale Kopie)
    Update (15.5.2017): Das geforderte Lösegeld von 300 bis 600 Euro muss in Form von Bitcoins gezahlt werden; bisher sind fünf Bitcoin-Adressen der Erpresser bekannt geworden. Auf diese „Konten“ sind bisher wohl nicht mehr als 130 Zahlungen eingegangen, daraus schließt man auf Erlöse von maximal rund 30.000 Euro. Allerdings ist der Verschlüsselungstrojaner auch erst seit Freitag aktiv und die Beschaffung von Bitcoins für das Lösegeld kann etwas dauern. (Q: heise.de / lokale Kopie)
  • Ursprung: (Update 18.5.2017) Laut einem Bericht der NY Times (lokale Kopie) gehen US-Geheimdienste davon aus, dass die Cyberattacke von Nordkorea ausgegangen ist. Darauf deuten Ähnlichkeiten zwischen dem Code von WannaCry und früheren Angriffen – unter anderem beim Sony-Pictures-Entertainment-Hack – hin: „Security experts at Symantec, which in the past has accurately identified attacks mounted by the United States, Israel and North Korea, found early versions of the ransomware, called WannaCry, that used tools that were also deployed against Sony Pictures Entertainment, the Bangladesh central bank last year and Polish banks in February. American officials said Monday that they had seen the same similarities. All of those attacks were ultimately linked to North Korea; President Barack Obama formally charged the North in late 2014 with destroying computers at Sony in retaliation for a comedy, “The Interview,” that envisioned a C.I.A. plot to kill Kim Jong-un, the country’s leader.  The computer code used in the ransomware bore some striking similarities to the code used in those three attacks. That code has not been widely used, and has been seen only in attacks by North Korean-linked hackers. Researchers at Google and Kaspersky, a Moscow-based cybersecurity firm, confirmed the coding similarities.“
    Update (21.5.2017): Laut Medienberichten hat Nordkorea die Verantwortung für die Ransomware offiziell im Rahmen einer UN-Veranstaltung in New York abgelehnt: “Whenever something strange happens it is the stereotype way of the United States and the hostile forces that kick off noisy anti-DPRK campaign deliberately linking with DPRK” (Q: Washington Post / lokale Kopie)

Die für die Infektion der Windows-Systeme verwendete Sicherheitslücke entstammt (Update 19.5.2017mutmaßlich  bestätigten Angaben zufolge dem Fundus der Shadowbroker-Leaks, die in den vergangenen Monanten stückweise Daten und Hacking-Tools der NSA veröffentlicht bzw. zum Kauf angeboten hatten. Damit kommt dem Nachrichtendienst insbesondere mit Blick auf die Sammlung und Geheimhaltung von Sicherheitslücken (um diese selbst zu verwenden) eine hochgradig kritische Rolle zu. Dazu hier ein Kommentar auf heise.de: „Kommentar zu WannaCry: Staatliche Dienste müssen Erkenntnisse teilen“ (lokale Kopie).

Update (18.5.2017): Der Vorfall, die Schwere der Schäden und die rasche Ausbreitung der Schadsoftware in alter, nicht mehr offiziell aktualisierter, aber sehr weit verbreiteter Software verdeutlichen die Gefahren die von „Cyberwaffen“ in Arsenalen der Nachrichtendienste (oder der Militärs) ausgeht. Vor diesem Hintergrund warnt unter anderem Microsoft in einem sehr deutlichen Statement (lokale Kopie) vor einer Fortsetzung dieser Entwicklung und mahnt an, den Vorfall als einen „wake up call“ zu verstehen: „They need to take a different approach and adhere in cyberspace to the same rules applied to weapons in the physical world. We need governments to consider the damage to civilians that comes from hoarding these vulnerabilities and the use of these exploits.

PS: Diese Zusammenstellung wurde mit sehr heißer Nadel gestrickt. Ungenauigkeiten, (Rechtschreib)Fehler und Unvollständigkeiten bitte ich zu entschuldigen. Eine ausführlichere Analyse des Vorfalls und dessen Implikationen folgt.

Share Button