WannaCry: Wenn der IT Security zum Heulen ist
CryptoLocker hat Ransomware "salonfähig" gemacht und dem Status der Web-Kuriosität enthoben. Mitte 2017 sorgen dann gleich zwei globale Attacken mit erpresserischen Schädlingen für einen erneuten Paradigmenwechsel: Ransomware wird zur existenziellen Bedrohung. Den Anfang macht Mitte Mai 2017 WannaCry, die laut Jonathan Penn "schlimmste Ransomware-Attacke in der Geschichte". Am 12. Mai beginnt die Ausbreitung, vier Tage später registriert Sicherheitsanbieter Avast bereits 250.000 befallene Systeme in 116 Ländern.
Die Bedeutsamkeit von WannaCry liegt jedoch nicht in den Zahlen. Denn es ist die erste Angriffswelle, bei der gestohlene Hacking-Tools aus dem Bestand der NSA zum Einsatz kommen. Im Fall von WannaCry handelt es sich dabei um "EternalBlue" - ein Exploit der eine Schwachstelle im Windows-SMB-Protokoll ausnutzt. Microsoft rollt bereits Monate zuvor ein Sicherheitsupdate aus, das die Lücke beheben soll. Das Problem ist nur: Kaum ein Unternehmen, beziehungsweise Institution hat dieses installiert.
So kann sich WannaCry ungehemmt über die Endgeräte über ganze Netzwerke ausbreiten - eine zusätzliche Interaktion durch den User ist dazu nämlich nicht von Nöten. Laut Kyle Wilhoit, Sicherheitsforscher bei DomainTools, machen es manche Unternehmen den Hackern besonders einfach: "Der betroffene SMB-Port 445 war in vielen Unternehmen offen über das Netz angreifbar. Das hat bei der Verbreitung des Wurms geholfen."
Petya / NotPetya: Und täglich grüßt die Ransomware
WannaCry läutet das neue Ransomware-Zeitalter ein, Petya (auch bekannt als NotPetya) macht kurz darauf deutlich, wie ernst die Bedrohung einzuschätzen ist. Erstmals tritt Petya bereits 2016 als Ransomware in Erscheinung. Ende Juni 2017 verbreitet sich dann eine Abwandlung - über dieselbe Sicherheitslücke wie WannaCry ("Eternal Blue"). Wieder sind viele Unternehmen, Regierungsinstitutionen und Krankenhäuser betroffen, der Schwerpunkt liegt in der Ukraine und Russland.
Im Zuge ihrer Untersuchungen gehen viele Experten wenig später davon aus, dass hinter der Petya-Ransomware keine monetären Interessen stecken. Stattdessen gehe es um die gezielte Zerstörung von Daten. Möglicher Hintergrund: Ein von Moskau aus gelenkter Hackerangriff auf die Ukraine.
"Es gab jede Menge Diskussionen darüber, wer hinter der WannaCry-Attacke stecken könnte", so Varun Badhwar, CEO von RedLock. "Aber auch diese Information wird künftige Angriffe nicht verhindern können. Malware Exploits und Toolkits sind im Internet für jeden frei verfügbar - egal ob Script-Kiddie, Mitglied der organisierten Kriminalitität oder Geheimdienst-Mitarbeiter. Der Fakt, dass sich Petya so schnell ausbreiten konnte, zeigt, dass Unternehmen auf der ganzen Welt das Thema IT Securitynicht so ernst nehmen wie sie sollten."
Ransom-Awareness?
Wie bei den meisten Datenschutz- und Sicherheits-Fails liegt auch in Sachen Ransomware der Fehler nicht unbedingt im Programmcode, sondern beim Menschen.
"Die meisten Ransomware-Attacken beginnen mit einer simplen Phishing-Email, also auf sehr unpersönlicher und nicht zielgerichteter Ebene", weiß Sicherheitsberater Alan Levine von WombatSecurity. "Aber ob es zu einer Infektion kommt oder nicht, hängt ganz von den Entscheidungen des Endanwenders ab. Sie stehen zwischen der IT-Abteilung und einem potenziellen Desaster."
Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation csoonline.com.