IT-Sicherheit WannaCry & Co. Stillstand auf dem Rechner

Immer häufiger nutzen kriminelle Hacker die wohl bekannteste Kriegslist der Geschichte für ihre perfiden Zwecke: das Trojanische Pferd. Doch was genau steckt hinter den Kryptotrojanern?

© dpa

Es begann am Freitagabend, den 12. Mai 2017, mit ersten Meldungen aus Großbritannien: Hunderte Computer des staatlichen Gesundheitssystems NHS waren mit einer Erpressungssoftware, sogenannte Ransomware, infiziert. Digitale Patientenakten waren nicht mehr zugänglich. Mehrere Medien berichteten von chaotischen Zuständen. Kurz darauf verbreitete sich „WannaCry“, genauer: WanaDecrypt0r2.0, weltweit. Der Trojaner verschlüsselt auf befallenen Rechnern die Festplatte und verlangt für die Herausgabe der Dateien ein Lösegeld.

Betroffen waren Privatpersonen, Banken und riesige Konzerne gleichermaßen. Nissan und Renault stoppten in französischen Werken den Betrieb. Auch der amerikanische Logistikriese FedEx meldete eine Infektion. Hierzulande erwischte es vor allem die Bahn: Der Ausfall von mehr als 300 Anzeigetafeln schockierte nicht nur die Passagiere. Bis heute ist die Krise noch nicht vollständig vorbei. Momentan sind die Netzwerke des japanischen Autobauers Honda infiziert.

Die Attacke mit WannaCry ist anders als vergangene Angriffe – sie ist gefährlicher. Die Art und Weise, in der sich der Schädling rasend schnell und global verbreitet, ist sowohl neu als auch besonders hinterlistig: Im Gegensatz zu früheren Kryptotrojanern geschieht dies selbstständig und ohne jegliches Zutun des Users. Vielleicht sei der Angriff ein Versehen, vermuten Experten. Möglicherweise geriet die Ransomware den Hackern auch schlichtweg außer Kontrolle. Verschiedene Geheimdienste haben mittlerweile einen Schuldigen für die Attacke ausgemacht: Eine nordkoreanische Hackergruppe namens Lazarus soll für die Ransomware verantwortlich sein.

Do you wanna cry?

„Bei WannaCry handelte es sich eigentlich um eine klassische Attacke durch einen Erpressungstrojaner“, erklärt Falk Garbsch, Sprecher des Chaos Computer Clubs (CCC), der größten Hackervereinigung Europas. WannaCry nutzte dafür zwei Wege: Einerseits verbreitete er sich – wie bei Kryptotrojanern üblich – per E-Mail. So sei der Angriff auf die Bahn durch das Öffnen von Mailanhängen ausgelöst worden. Dafür tarnte sich die Malware als nützliches Programm.

„In diesem Punkt liegt der Unterschied zu Computerviren: Trojaner infiltrieren eine Funktion und führen dann, ohne das Wissen des Nutzers, Aktionen aus“, erklärt Marc Fliehe, Bereichsleiter für Information Security des Bitkom, des Bundesverbands für Informationswirtschaft, Telekommunikation und neue Medien. Sobald WannaCry das System infiziert hatte, versuchte er andererseits, wie ein Wurm, andere Rechner im gleichen Netz zu kompromittieren. User waren dagegen machtlos.

Der Ursprung von WannaCry liegt bei „Eternal Blue“, das bedeutet in dem Exploit, also dem „Ausnutzen“, einer Microsoft-Sicherheitslücke. Die kriminellen Hacker nutzten diese Sicherheitslücke, um dann ihre eigene Schadsoftware zu verbreiten.

Zahlreiche Sicherheitslücken

Vor dem Angriff nutzte die NSA die Schwachstelle bereits seit Jahren für eigene Spionagezwecke und staatliches Hacking. Für Falk Garbsch das Kernproblem hinter dem globalen Angriff: „Malware verbreitet sich immer wieder über Sicherheitslücken in Betriebssystemen, die von den Geheimdiensten und Staaten nicht gemeldet werden. Solange die CIA, die NSA und Konsorten diese Einfallstore nicht melden, damit Firmen wie Microsoft sie schließen können, wird es immer wieder zu solchen Vorfällen kommen.“

Der CCC geht davon aus, dass es noch unzählige Lücken gibt – zumindest boomt der Handel damit: „Geübte Hacker finden solche Lücken schnell. Sie bieten sie anschließend auf zwielichtigen Märkten an. Dort kaufen Geheimdienste und Kriminelle munter ein.“

Der Message Server Block (SMB)

Für die weitere Verbreitung nutzte WannaCry dann das Dateifreigabe-Protokoll, den sogenannten „Message Server Block“ (SMB). „Das ist ein Dateiaustauschprogramm von Microsoft, das für Windows 95 und 98 entwickelt wurde und das die Datei- und Druckfreigabe managt“, so Garbsch. Befiel der Trojaner einen Computer, scannte er automatisch das verknüpfte Netzwerk und verbreitete sich auf den gefundenen Geräten selbstständig weiter. Deshalb war für die Verbreitung keine Aktion des Users mehr nötig.

Obwohl WannaCry auf der ganzen Welt für Aufsehen sorgte, war der CCC von dem Angriff nicht überrascht: „Wir kennen das Problem mit den Sicherheitslücken schon lange. Das ist genau die Art von Cyberkriminalität, mit der wir rechnen und vor der wir seit Jahren warnen.“ Eine frühe Version des Virus konnte durch einen sogenannten „kill switch“ – eine Art Notbremse – gestoppt werden. Der 23-jährige britische IT-Experte Marcus Hutchins entdeckte diesen Schalter zufällig: Im Code des Schädlings fand er den Hinweis auf eine seltsame URL, zu der noch keine passende Domain registriert war. Als er die Adresse aufrief, verzeichnete er auf einem unter dieser Adresse betriebenen Server sofort tausende Verbindungsversuche. Hutchins fand heraus, dass der Trojaner seine Weiterverbreitung beendete, sobald er auf Anfragen an diese Domain eine Antwort bekam. In vielen Fällen wurde der „kill switch“ aber durch die Virenscanner der Rechner unfreiwillig blockiert.

„Virenscanner suchen nach Abweichungen“, erklärt Garbsch. Sobald sich eine Software anders verhält als erwartet, wird sie isoliert. Bei WannaCry reagierte das System auf die falsche Anomalie. Der hohe Datenfluss um den „kill switch“ wurde dann als verdächtig eingestuft. Dadurch wurde die Notbremse unterdrückt. Virenscanner, Firewalls und Updates können Rechner nur bedingt schützen. Die Experten sind sich deshalb einig: Nur durch das Offenlegen und Schließen von Sicherheitslücken können die Angriffe eingedämmt werden. „Wenn sich nichts ändert, müssen wir damit rechnen, dass kritische Infrastrukturen bald täglich ausfallen“, meint Garbsch vom Chaos Computer Club.

Für die Nutzer bleibt laut Garbsch vor allem eines zu tun: „Die goldene Regel lautet: Immer alle Sicherheitsupdates einspielen. Und zwar sofort. Andernfalls wird das System sofort anfällig für Sicherheitslücken.“ Und auch Fliehe findet: „Die User müssen sich präventiv schützen. Nicht erst wenn das Kind schon in den Brunnen gefallen ist.“

Der Weg des Trojaners: So funktioniert WannaCry!

„Ooops! Your files have been encrypted!“ Durch eine Bildschirmanzeige mit diesem zynischen Titel erpresste WannaCry bisher tausende User weltweit. Die Crux dabei: Selbst wenn die Geschädigten sich auf die Erpressung einließen, wurden die Daten nicht wieder freigegeben. Überraschenderweise zahlten aber relativ wenige Erpressungsopfer das Lösegeld. Die Hacker erbeuteten dadurch nicht einmal 70.000 Dollar Lösegeld.

  1. Kriminelle Hacker versenden E-Mails. Im Anhang befindet sich ein Link, der zu einer verseuchten Website führt. User klicken auf den Link.
  2. Während der Link lädt, beginnt die schädliche Website durch ein Exploit-Kit in Kontakt mit dem Rechner der User zu treten.
  3. Das Exploit-Kit sucht nach einer Schwachstelle im Rechner des Opfers und hinterlässt eine schädliche exe-Datei.
  4. Die Ransomware wird installiert und löscht alle Systemdateien für ein Backup. Der Nutzer kann keine Systemwiederherstellung durchführen.
  5. WannaCry entwickelt Kopien der Schadsoftware im Startmenü, dem AppData-Verzeichnis und dem Root-Verzeichnis. Dadurch wird die Schadsoftware auch beim nächsten Neustart mitausgeführt.
  6. „Your files have been encrypted“: Die Ransomware sucht nach mehr als 100 unterschiedlichen Dateitypen und verschlüsselt sie.
  7. Eine Erpressungssoftware sendet den Verschlüsselungscode und Informationen an die schädliche Website.
  8. Das Opfer erhält eine Erpressungsmail, die eine Zahlung in der digitalen Geldeinheit Bitcoin fordert. Die Anzeige kündigt eine Verdopplung des Lösegelds nach drei Tagen an.