Foto: Zephyr_p - shutterstock.com
Am 12. Mai 2017 erfolgte der in der Geschichte bislang größte Angriff von Erpressersoftware - bekannt wurde er als "WannaCry". Die heute berüchtigte Ransomware verbreitete sich wie ein Lauffeuer, das rund um den Globus willkürlich PCs infizierte - egal ob von Privatanwendern, Unternehmen, Behörden oder gar Computer im Gesundheitswesen wie die von Krankenhäusern. Ein Jahr danach gibt es die Schadsoftware WannaCry, die die EternalBlue-Schwachstelle ausnutzt, immer noch. Erst kürzlich soll es den Flugzeugbauer Boeing getroffen haben.
Der erste WannaCry-Angriff ging wohl von einem Staat und nicht wie so oft von Cyberkriminellen aus, die mit Erpressersoftware in erster Linie Geld verdienen wollen. Das Motiv waren vermutlich zerstörerische Absichten. Ende des vergangenen Jahres hat die Regierung der USA Nordkorea für den Angriff verantwortlich gemacht.
Zu diesem Zeitpunkt wurde der Code von WannaCry beschädigt, einschließlich der Bezahlungskomponente. Die Drahtzieher der Attacke haben im August 2017 noch schätzungsweise rund 140.000 Dollar damit verdient. Diese Summe und die Bitcoins, die anhand der drei in WannaCry einprogrammierten Bitcoin-Adressen ersichtlich sind, ist in Hinsicht auf die enorm hohe Infektionsrate gering.
Die starke Verbreitung von WannaCry beruht auf drei Schlüsselfaktoren. Zum einen nutzt die Schadsoftware eine Schwachstelle aus, die auf vielen PCs mit älteren Betriebssystemen zu finden ist. Die älteren Betriebssysteme wurden zudem nicht mehr unterstützt und waren somit anfällig für den Exploit. Hinzu kommt, dass es keiner zusätzlichen Handlung des Nutzers bedurfte, um den Angriff auszuführen, da die Malware als Wurm programmiert wurde. Doch wie konnte es damals eigentlich überhaupt so weit kommen?
Schleppende Akzeptanz von Patches
WannaCry verbreitete sich explosionsartig, indem es die Windows-Schwachstelle EternalBlue - auch MS17-010 genannt - ausnutzte und ohne weiteres Zutun der Anwender die Computer infizierte. EternalBlue ist ein schwerwiegender Bug im Code von Microsoft Windows und mindestens so alt wie Windows XP.
Die Schwachstelle ermöglicht es Angreifern, den Code ferngesteuert auszuführen, indem sie eine Anfrage an das Windows File und den Printer Sharing Service erstellt. Die auf einem PC bereits aktive WannaCry-Malware scannt sowohl das lokale als auch das Sub-Netzwerk und sucht zufällig eine IP-Adresse aus. Sobald sie einen verwundbaren Computer aufgespürt hat, kann sie diesen aufgrund der Wurm-Funktion auch angreifen.
Berichten zufolge wurde die Schwachstelle von der NSA entdeckt, die ihr den Namen "EternalBlue" gab, sie geheim hielt und dann ein Backdoor-Tool entwickelte, um sie auszunutzen. Eine Gruppe von Hackern namens ShadowBrokers brachte den Exploit einen Monat vor Verbreitungsbeginn von WannaCry ans Licht. Microsoft veröffentlichte im März 2017 einen Patch für EternalBlue - zwei Monate vor WannaCry. Weil viele Anwender diesen Patch nicht installierten, konnte WannaCry überhaupt erst so stark werden.
- CryptoLocker
Den ersten Auftritt auf der großen Bühne hat Ransomware mit dem Auftauchen von CryptoLocker im Jahr 2013. Der Schädling verbreitet sich als Anhang von Spam-Nachrichten und nutzt RSA Public Key Encryption, um Files zu verschlüsseln. Zur Freigabe der Daten muss bezahlt werden. Insgesamt erpressen kriminelle Hacker mit CryptoLocker und seinen Abwandlungen rund drei Millionen Dollar. - TeslaCrypt
TeslaCrypt zielt in seiner ursprünglichen Form auf die File-Erweiterungen populärer Videospiele wie Call of Duty. Ein besonders fieser Aspekt dieser Ransomware: Ihre Autoren verbessern sie kontinuierlich und schließen Anfang 2016 auch eine Lücke, über die infizierte Systeme zurückgesetzt werden können. Im Jahr 2016 sind 48 Prozent aller Ransomware-Attacken auf TeslaCrypt zurückzuführen. Im Mai 2016 überraschen die Ransomware-Autoren dann mit der Nachricht, ihre kriminellen Aktivitäten einstellen zu wollen. In der Folge wird der Master Decryption Key veröffentlicht, der die Daten-Geiselnahme beendet. - SimpleLocker
SimpleLocker ist die erste mobile Ransomware, die tatsächlich Daten verschlüsselt und in Geiselhaft nimmt. Noch dazu ist es auch die erste Ransomware, die ihren maliziösen Payload per Trojaner ausliefert, was wiederum die Erkennung und Beseitigung durch Sicherheitslösungen erschwert. Obwohl (oder gerade weil) SimpleLocker aus Osteuropa stammt, sind drei Viertel seiner Opfer in den USA beheimatet. - WannaCry
WannaCry ist die bislang größte Ransomware-Attacke, die Mitte Mai 2017 Unternehmen, Behörden, Institutionen und Krankenhäuser in mehr als 150 Ländern weltweit heimsucht. Bei der Angriffswelle kommen erstmals gestohlene NSA-Hacking-Tools zum Einsatz. WannaCry nutzt eine Schwachstelle im Windows-SMB-Protokoll aus, kann aber letztlich durch das mehr oder weniger zufällige Auffinden eines "Kill Switch" entschärft werden. - Petya
Ende Juni 2017 verbreitet sich dann eine neue Ransomware-Variante, die auf der bereits seit 2016 bekannten Malware Petya basiert. Diese neue Form nutzt dieselbe Sicherheitslücke wie WannaCry. Wieder sind viele Unternehmen, Regierungsinstitutionen und Krankenhäuser betroffen, der Schwerpunkt liegt in der Ukraine und Russland. Die schnelle Ausbreitung über eine bereits bekannte (und ausgenutzte) Sicherheitslücke rückt ein weiteres Mal die vielerorts laxen Security-Prozesse ins Rampenlicht.
Schlechtes Patch-Verhalten
Die Nachricht von WannaCry wurde weltweit von der Presse aufgriffen und mittlerweile haben viele Nutzer von der Ransomware gehört. Doch trotz dieser umfassenden medialen Berichterstattung und den verheerenden Folgen für Privatanwender und Unternehmen haben viele PC-Nutzer ihre Systeme noch immer nicht mit dem Patch aktualisiert, um sie damit vor einem Angriff von WannaCry zu schützen. Das wirft die Frage auf: Warum patchen die Anwender nicht?
Über die Gründe lässt sich nur spekulieren: Zum einen könnte es an einem mangelnden Verständnis für Patches und Software-Updates liegen - was sie sind, was sie tun und warum sie so wichtig sind. Der durchschnittliche Anwender ist sich vielleicht nicht der Tatsache bewusst, dass ein System Schwachstellen enthält, die Internetkriminelle zur Verbreitung von Malware ausnutzen können. Sobald Schwachstellen bekannt werden, erstellen Software-Entwickler normalerweise zeitnah einen Patch um das Problem zu beheben. Das Ausmaß von WannaCry hätte sich also minimieren lassen, wenn mehr Anwender den MS17-010 Patch installiert hätten.
Zum anderen empfinden viele Nutzer das Installieren von Updates als störend, denn es erfordert eine Unterbrechung der aktuellen Tätigkeit am PC. Manchmal ist sogar auch ein Neustart nötig oder die Programmoberfläche ist danach verändert. Vielen Anwendern ist all das zu lästig und sie ignorieren die eigentlich dringend erforderlichen Aktualisierungen einfach.
Unabhängig davon wurden auch einige Systeme wie Windows XP nicht mehr mit dem Patch versorgt und waren der WannaCry-Attacke schutzlos ausgeliefert. Trägt die IT-Industrie also auch eine Mitschuld an WannaCry?
Mehr Verständnis für Patches
Damit Patches besser angenommen werden, muss die IT-Branche das Image der Patches verändern und ihre Notwendigkeit, nämlich das Beheben von Problemen und den Schutz vor Attacken, verdeutlichen. So könnte beispielsweise der Hintergrund eines Patches bei der Aufforderung zur Installation veranschaulicht werden, um so ganz konkret auf die Folgen aufmerksam zu machen, falls das Update ignoriert wird.
Daneben sollte die Anwenderfreundlichkeit der Patches verbessert werden - sei es durch kleinere Softwarepakete oder Installationen im Hintergrund bzw. über Nacht. Und dann gibt es noch einen Knackpunkt: Die Software-Entwickler müssen sich darüber im Klaren werden, dass ihre Systeme die ursprünglich geplante Lebenszeit oft überdauern - aufgrund der robusten Hardware und ihrer Beliebtheit.
Windows XP und Windows Vista zum Beispiel sind immer noch bei einigen Anwendern im Einsatz, obwohl Microsoft für diese beliebten Systeme keine Aktualisierungen mehr zur Verfügung stellt. Ein gefundenes Fressen für Cyberkriminelle.
Ein Blick in die Zukunft verrät uns auch, dass Updates nicht nur für PCs nötig sind, sondern auch für sämtliche IoT-Geräte. Nachdem internetfähige Geräte Einzug in private Haushalte gehalten haben, gilt es, ihre Sicherheit zu erhöhen - bei vielen davon kann die Software nicht länger als zwei Jahre lang aktualisiert werden. Damit stellen sie aus Sicht der Cyberkriminellen ein attraktives Einfallstor für Angriffe dar, gerade weil man nicht nur das einzelne Gerät, sondern das ganze System lahmlegen kann.