F-Secure Labs warnt schon seit längerem vor zwei großen Gefahren: zum Einen vor der exponentiellen Ausbreitung von Ransomware und zum anderen vor den Gefahren der staatlichen Überwachungsinstrumente. Die Crypto-Ransomware WannaCry – die am Freitag weltweit viele Computersysteme infizierte – scheint beide Gefahren zu vereinen.
Benutzer, die durch die Ransomware infiziert wurden, können ihre Systeme nicht mehr benutzen, es sei denn, sie zahlen ein Lösegeld in Höhe von bis 300 US-Dollar in Bitcoin. Es handelt sich hier also um eine typische Crimeware, ähnlich wie andere Ransomware auch. Aber der Unterschied hierzu ist, dass es eine Schwachstelle aus den Veröffentlichungen der Shadow Broker Dump im April dieses Jahres nutzt.
F-Secure liegen Berichte aus mehr als 60 Ländern vor. Mikko Hyppönen, unser Chief Research Officer, nennt es “den größten Ransomware-Ausbruch in der Geschichte”.
Hier ist WannaCry in Aktion:
Die National Health Service in England gehört zu den Organisationen, die am stärksten davon betroffen sind. Mehrere Computersysteme wurden lahm gelegt, Behandlungen und Operationen mussten aufgeschoben werden und Krankenwagen wurden sogar umgeleitet.
Dennoch: Es handelt sich hierbei um einen weltweiten Ausbruch.
Diese Aufnahme wurde in Frankfurt gemacht:
https://twitter.com/Avas_Marco/status/863107445559889921/photo/1
Oder ein Computerlabor in einer Universität in Italien:
https://twitter.com/dodicin/status/862991818904002565/photo/1
Die Ransomware wird über Spam verteilt und breitet sich dann innerhalb einer Organisation wie ein Wurm aus. Seit dem Conficker im Jahr 2008 haben wir nichts gesehen, was sich in ähnlicher Weise ausbreitet.
Der Exploit ist als MS17-010 bekannt und wurde zuvor von Microsoft gepatcht. Windows XP-Rechner erhalten jedoch keine Updates mehr, also sind sie besonders gefährdet. Systeme, die aktuelle Windows-Betriebssysteme verwenden und die noch nicht das aktuelle Update vom 14. März eingespielt haben, sind ebenfalls gefährdet.
Unternehmen mit entsprechend konfigurierten Firewalls haben die Ausbreitung vermutlich eingedämmt.
Also, wie groß ist Angelegenheit? Sehr groß! Und glücklicherweise wurde der “Kill Switch” per Zufall gefunden. Im übertragenen Sinn der Aus-Knopf. Heißt, die Ransomware verbreitet sich nicht mehr so exponentiell. Aber es gibt noch sehr viel zu tun. Noch immer sind viele Systeme verschlüsselt.
Es geht um Crimeware und es geht darum, damit Geld zu verdienen. Und es ist profitabel wie es das Geschäftsmodell von Ransomware immer wieder unter Beweis stellt.
Wie gehen die Opfer aber nun vor? Die Opfer können natürlich das Lösegeld zahlen, um wieder auf ihre Systeme zugreifen zu können. Hätte der Angreifer wirklich böse Absichten, gäbe es diese Option nicht. Es gibt natürlich auch die Chance, dass die Strafverfolgungsbehörden die Täter fasst und damit an den Verschlüsselungscode gelangt. Aber die nächste Bedrohung wäre, dass dieser Ausbruch Nationalstaaten die Idee geben könnte, ähnliche Cyberwaffen zu schaffen, wo es dann keine Hoffnung mehr gibt, jemals die Daten wiederherzustellen. Das wäre der schlimmste Fall.
Was ist jetzt der nächste Schritt? Alle Systeme inklusive der darauf befindlichen Programme aktualisieren und folgenden Ratschlag befolgen, um Ihr Unternehmen gegen Ransomware zu schützen.
Update: Microsoft hat eine speziellen Patch für Windows XP veröffentlicht. Dennoch sollten Sie dieses inzwischen veraltetet Betriebssystem schnellstmöglich ablösen.
Kategorien