WannaCry / EternalBlue

Keyfacts

  • entdeckt: 12.05.2017
  • sicher aktiv seit: 12.05.2017
  • letzte Aktualisierung: —
  • Verbreitung: ca. 200.000 Systeme in 150 Ländern, insbesondere aber Europa und Nordamerika, viele Unternehmen betroffen
  • Infektion und Replikation: Phising für initialen Zugriff, danach Verbreitung über Zero-Day-Exploit in Windows-Netzwerken, Grundlage der Angriffe war EternalBlue, ein Leak aus NSA-Beständen. Dieser wurde u.a. auch bei (Not)Petya verwendet
  • Hauptziel: Erpressung über die Verschlüsselung der Daten (Ransomware)
  • Vermutliche Herkunft: Anzeichen für Nord-Korea, Zero-Day-Exploits stammen aus Shadowbroker-Leaks von NSA-Tools

Relevante Dokumente

Ausbreitung von WannaCry vor Einsetzen der Abwehrmaßnahmen mit Hilfe der „Killswitch“-Server

WannaCry war eine Ransomware, die am 12.05.2017 innerhalb weniger Stunden  sehr viele Systeme weltweit de-facto blockiert hat, indem die Festplatten verschlüsselt und erst nach Überweisung eines Lösegeldes in Bitcoin (zwischen 300 und 600 US-Dollar) wieder freigegeben wurden. Die erste Infektionen wurden in Russland gemeldet, danach breitete sich WannaCry schnell weiter aus. Schätzungen gehen von bis zu 200.000 betroffenen IT-Systemen in 150 Ländern weltweit aus. Die meisten Infektionen wurden aus Europa, Nord-Amerika und Ost-Asien gemeldet. Da Bitcoin-Konten öffentlich einsehbar sind, konnte festgestellt werden, dass mit den Erpressungs-Angriffen „nur“ ca. 60.000 $ erbeutet werden konnten. Obgleich WannaCry eindeutig kriminelle Absichten verfolgte, ist es zum einen aufgrund der verursachten Ausfälle in öffentlichen Einrichtungen und Unternehmen bislang (dazu weiter unten mehr) einzigartig. Zum anderen beruht der häuptsächlich verwendete Exploit zur Ausbreitung in Windows-Netzwerken mutmaßlich aus dem Fundus der NSA-Hacking-Werkzeuge (dort als „EternalBlue“ bezeichnet), wurde von diesen für die eigene Verwendung geheim gehalten und durch die Leaks der Shadowbroker öffentlich und für andere verwendbar. Der Vorfall, die Schwere der Schäden und die rasche Ausbreitung der Schadsoftware in alter, nicht mehr offiziell aktualisierter, aber sehr weit verbreiteter Software verdeutlichen die Gefahren die von „Cyberwaffen“ in Arsenalen der Nachrichtendienste (oder Militärs) ausgeht. Vor diesem Hintergrund warnt unter anderem Microsoft in einem sehr deutlichen Statement vor einer Fortsetzung dieser Entwicklung und mahnt an, den Vorfall als einen „wake up call“ zu verstehen: „They need to take a different approach and adhere in cyberspace to the same rules applied to weapons in the physical world. We need governments to consider the damage to civilians that comes from hoarding these vulnerabilities and the use of these exploits. “

Zu den Angriffsvektoren

Die Erstinfektion von WannaCry erfolgte per schadhafter E-Mail. Die Weiterverbreitung erfolgte über eine Sicherheitslücke in Windows Dateifreigaben (SMB). NSA-Mitarbeiter („NSA officials“) dass intern diese Sicherheitslücke selbst als hochgefährlich eingestuft wurde, trotzdem aber  jahrelang geheim gehalten wurde. Erst nach dem Shadowbroker-Leak habe man den Bug an Microsoft gemeldet, den diese im März 2017 umgehend in die, als „Patchday“ bezeichneten monatlichen Sicherheitsaktualisierung aller modernen Windows-Versionen integriert haben. Allerdings funktionierte der Bug auch in älteren, nicht mehr offiziell unterstützten und mit Aktualisierungen versorgten Windows-Versionen, wie Windows XP. Demzufolge waren vorallem ältere PC-Systeme von WannaCry betroffen. Aufgrund des agressiven Befalls wurde durch Microsoft ein außerordentlicher Patch für das, eigentlich seit April 2014 nicht mehr unterstützte Windows XP herausgegeben. Update (23.6.2017): Die Patches wurden außerdem in einer bis dato einmaligen Aktion auch nochmals über – eigentlich seit langem deaktivierte – Update-Mechanismen im Juni 2017 für ältere Windows-Versionen verteilt.

Verlauf der Angriffswelle

Neben dem raschen Ausrollen der Patches für alte Windows-Varianten konnte die Ausbreitung von WannaCry auch durch die Einrichtung und Aktivierung der, im Code von WannaCry als „Killswitch“ entdeckten hinterlegten Domain realisiert werden. Wannacry prüft ob eine Verbindungsanfrage auf die spezifische Domain erfolgreich ist und stoppt die Infektion sowie Weiterverbreitung wenn die Domain existiert. Diese Funktion könnte bewusst als Deaktivierungsmöglichkeit von den Entwicklern eingebaut worden sein, als Technik zur Erkennung von sogenanntem Sandboxing vorgesehen oder als Testwerkzeug versehtlich in den Code von WannaCry übernommen worden sein.  Der, von IT-Sicherheitsexperten aufgebaute Killswitch-Server war zwischenzeitlich selbst Ziel massiver DDoS-Attacken, mutmaßlich aus einem IoT-Botnetz wie seinerzeit Mirai. Ein Erfolg dieser Attacken hätte die Infektionswelle von WannaCry möglicherweise erneut in Gang setzen können. Für bereits infizierte und verschlüsselte Systeme gab es einige Hilfsmittel um die Verschlüsselung zu brechen, die jedoch nur in sehr speziellen Fällen funktioniert haben. Update (23.6.2017): Auch mehr als einen Monat nach dem eigentlichen Angriff gibt es immer wieder Medienberichte über Schaden durch WannaCry, wie bspw. in einem Reuters-Bericht über den Autohersteller Honda. Ob es sich dabei um eine Neuinfektion oder eine erst entdeckte bereits bestehende Infektion handelt ist allerdings unklar.

Schäden

Viele weltweite Unternehmen und öffentliche Einrichtungen berichteten von Infektionen ihrer IT-Systeme, darunter die britische Gesundheitsbehörde National Health Service (NHS) und weitere Unternehmen im Gesundheitsbereich, darunter einige Krankenhäuser die für mehrere Stunden nur eingeschränkt arbeitsfähig waren. Die Autohersteller Renault und Nissan haben in einigen Werken die Produktion stoppen oder reduzieren müssen. Weitere Beeinträchtigungen haben der spanische TK-Konzern Telefónica/O² sowie der Energiekonzern Iberdrola gemeldet, das russische Innenministerium, der US-amerikanische Versanddienstleister FedEx sowie die Deutsche Bahn. Weitere Brennpunkte waren die Ukraine und Taiwan. Betroffen waren darüber hinaus auch viele private PCs, einzelne Nutzer und kleine Netzwerke. Da sich die Ransomware in einmal infizierten Netzwerken schnell ausbreitet, ist es durchaus schlüssig dass auf diesem Wege vom „Einfallstor Arbeitsplatz-PC“ auch Steuerungsanlagen in Unternehmen infiziert werden konnten. Gerade auf diesen laufen noch des öfteren alte Windows-Versionen um Steuerungs-Software die nur für diese Versionen existieren weiter zu betreiben.

Ursprung und weitere Vorfälle

Laut einem Medienberichten geht der US-Geheimdienste davon aus, dass die Cyberattacke von Nordkorea ausgegangen ist. Darauf deuten Ähnlichkeiten zwischen dem Code von WannaCry und früheren Angriffen – unter anderem beim Sony-Pictures-Entertainment-Hack – hin:

„Security experts at Symantec, which in the past has accurately identified attacks mounted by the United States, Israel and North Korea, found early versions of the ransomware, called WannaCry, that used tools that were also deployed against Sony Pictures Entertainment, the Bangladesh central bank last year and Polish banks in February. American officials said Monday that they had seen the same similarities. All of those attacks were ultimately linked to North Korea; President Barack Obama formally charged the North in late 2014 with destroying computers at Sony in retaliation for a comedy, “The Interview,” that envisioned a C.I.A. plot to kill Kim Jong-un, the country’s leader.  The computer code used in the ransomware bore some striking similarities to the code used in those three attacks. That code has not been widely used, and has been seen only in attacks by North Korean-linked hackers. Researchers at Google and Kaspersky, a Moscow-based cybersecurity firm, confirmed the coding similarities.“ (Q: New York Times)

Nordkorea lehnte die Verantwortung für die Ransomware jedoch offiziell im Rahmen einer UN-Veranstaltung in New York ab: “Whenever something strange happens it is the stereotype way of the United States and the hostile forces that kick off noisy anti-DPRK campaign deliberately linking with DPRK” (Q: Washington Post / lokale Kopie).

Bereits vor der Infektionswelle mit WannaCry wurden die dabei ausgenutzten Sicherheitslücken durch einen anderen Trojaner namens „Adylkuzz“ benutzt um Malware zum Errechnen von Kryptogeld zu verbreiten. Dabei gehen Sicherheitsforscher davon aus, dass Adylkuzz etwa gleich stark verbreitet und weiterhin aktiv ist. Eine technische Analyse ist hier bei proofpoint zu finden (lokale Kopie). Darüber hinaus gibt es den IT-Sicherheitsforschern zufolge Ähnlichkeiten zu einer Malware „Lazarus“ von 2016 (lokale Kopie), mit der seinerzeit Banken und Finanzdienstleister wie SWIFT angegriffen wurden. Zwei weitere Malware-Varianten namens „EternalRocks“ und „BlueDoom“ wurden durch IT-Sicherheitsunternehmen bemerkt, die – zumindestens bislang – allerdings keinerlei Schadwirkung enthielten (Q: Threatpost / lokale Kopie)

Share Button