Die WannaCry-Epidemie begann am 12. Mai 2017 als Opfer bei ihrer Arbeit durch die folgende Meldung auf ihren Bildschirmen unterbrochen wurden:
Gleich danach mussten die Opfer entsetzt feststellen, dass ihre Dokumente verschlüsselt worden waren und alle normalen Dateierweiterungen wie .doc oder .mp3 nun die Erweiterung .wnry trugen. Für den Fall, dass Nutzer das Pop-up-Fenster einfach wegklickten, tauschte die Malware das Desktop-Hintergrundbild ebenfalls gegen ein eigenes aus, das die folgende Nachricht enthielt:
Zur Entschlüsselung der Dateien verlangte das Programm die Überweisung von 300 US-Dollar in Bitcoin an das Wallet der Angreifer. Später wurde der Betrag auf 600 US-Dollar erhöht. Innerhalb eines Tages hatte der sich schnell verbreitende Internetwurm weltweit mehr als 200.000 Systeme infiziert, darunter sowohl Heimcomputer als auch Unternehmensnetzwerke: Krankenhäuser, Transportunternehmen, Banken und Mobilfunkanbieter waren betroffen. Der taiwanesische Chiphersteller TSMC musste aufgrund einer Masseninfektion von Firmengeräten sogar seine Produktion einstellen.
Wie kam es dazu?
Die blitzschnelle Verbreitung von WannaCry wurde durch Schwachstellen im Server Message Block (SMB)-Protokoll von Windows ermöglicht. Dieses Protokoll dient dem Austausch von Dateien über ein lokales Netzwerk. Die Schwachstellen ermöglichten die Ausführung von beliebigem Code auf einem nicht gepatchten Computer durch eine Anfrage über das SMBv1-Protokoll. Dabei handelt es sich um eine veraltete Version von SMB, die seit den frühen 1990er Jahren verwendet wird. Seit 2006 wird in Windows standardmäßig SMBv2 oder eine neuere Version des Protokolls verwendet, die Unterstützung für das alte Protokoll wurde jedoch aus Gründen der Kompatibilität mit Computern, auf denen ältere Software läuft, beibehalten.
Als das Problem entdeckt und Updates im März 2017 (fast zwei Monate vor dem WannaCry-Ausbruch) veröffentlicht wurden, betraf die SMBv1-Schwachstelle alle ungepatchten Versionen des Betriebssystems, von Vista bis zum damals brandneuen Windows 10. Auch das veraltete Windows XP und Windows 8 waren gefährdet. Microsoft veröffentlichte einen Patch für Windows XP, obwohl die Unterstützung für dieses Betriebssystem bereits 2014 offiziell eingestellt worden war. Der Exploit, der auf Schwachstellen in SMBv1 abzielte, ist allgemein unter dem Codenamen EternalBlue bekannt, was eine gesonderte Erwähnung wert ist.
Aber zunächst sollten Sie einen weiteren Codenamen kennen: DoublePulsar. Dies ist der Name des Schadcodes, der zum Erstellen einer Backdoor auf dem kompromittierten System verwendet wurde. Sowohl der EternalBlue-Exploit als auch die DoublePulsar-Backdoor wurden im März bzw. April 2017 von der anonymen Gruppe ShadowBrokers veröffentlicht und angeblich zusammen mit anderen schädlichen Tools von einem Department der US-amerikanischen National Security Agency gestohlen. Der WannaCry-Wurm setzte beide Komponenten ein. Zunächst erhielt er über den EternalBlue-Exploit die Fähigkeit Schadcode auszuführen, und verwendete dann ein angepasstes DoublePulsar-Tool, um die Nutzlast zu starten, Dateien zu verschlüsseln und eine Lösegeldforderung anzuzeigen.
Neben der Verschlüsselung von Dateien verbreitete sich das Schadprogramm WannaCry selbst, indem es mit dem C2-Server der Angreifer über das anonyme Tor-Netzwerk kommunizierte und böswillige Anfragen an zufällige IP-Adressen sendete. Dies war der Grund für die unglaubliche Ausbreitungsgeschwindigkeit des Wurms – Zehntausende von infizierten Systemen pro Stunde!
Kill Switch
Am selben Tag, dem 12. Mai, warf der damals noch unbekannte Cybersicherheits-Blogger MalwareTech einen detaillierten Blick auf den WannaCry-Code. Er entdeckte, dass in den Code eine Adresse in Form einer .com eingefügt war. Der Domainname war nicht registriert, also registrierte MalwareTech ihn auf seinen eigenen Namen und ging zunächst davon aus, dass die infizierten Computer diese Adresse für die weitere Kommunikation mit C2-Servern verwenden würden. Stattdessen stoppte er versehentlich die WannaCry-Epidemie.
Obwohl in der Nacht zum 12. Mai bekannt wurde, dass WannaCry auch weiterhin viele Computer infizierte, wurden nach der Domainregistrierung keine Daten mehr auf den betroffenen Computern verschlüsselt. Da die Domain nun verfügbar war, stellten alle Malware-Instanzen aus irgendeinem Grund ihre Bemühungen plötzlich ein. Aber warum haben es die Ersteller von WannaCry Außenstehenden so einfach gemacht, ihre Ransomware ohne viel Aufwand lahmzulegen? Laut MalwareTech war es ein fehlgeschlagener Versuch, die automatische Sandbox-Analyse auszutricksen.
Sandboxing funktioniert folgendermaßen: Ein Schadprogramm wird in einer isolierten virtuellen Umgebung ausgeführt, was eine Echtzeitanalyse seines Verhaltens ermöglicht. Dies ist ein gängiges Verfahren, das entweder manuell von Virenanalysten oder automatisch durchgeführt wird. Die virtuelle Umgebung ist so konzipiert, dass die Malware vollständig ausgeführt werden kann und den Forschern all ihre Geheimnisse offenlegt. Wenn die Malware eine Datei anfordert, gibt die Sandbox vor, dass die Datei existiert. Wenn sie auf eine Onlineseite zugreift, kann die virtuelle Umgebung eine Antwort emulieren. Vielleicht haben die Autoren von WannaCry geglaubt, sie könnten die Sandbox-Analyse überlisten: Wenn der Wurm auf eine Domain zugreift, von der bekannt ist, dass sie nicht existiert, und eine Antwort erhält, dann ist das Opfer nicht real und die bösartige Aktivität muss verborgen werden.
Womit sie wahrscheinlich nicht gerechnet hatten, war, dass der Code des Wurms in nur drei Stunden zerlegt und sein „geheimer“ Domainname gefunden und registriert werden würde.
MalwareTech: „Der Hacker, der das Internet rettete“
MalwareTech hatte Gründe, seine wahre Identität zu verbergen. Sein richtiger Name ist Marcus Hutchins. Als WannaCry anfing sein Unwesen zu treiben, war er gerade 23 Jahre alt. Jahre zuvor geriet er, wie man so schön sagt, in die falschen Kreise und trieb sich in kleinkriminellen Foren herum. Zu seinen Sünden zählte er damals das Schreiben zweier Programme: eines zum Entwenden von Browser-Passwörtern, ein weiteres zur Nutzerinfektion über Torrents, mit dem er ein Botnet von mehr als 8.000 Nutzern aufbaute.
Anfang der 2000er Jahre wurde er von einem größeren Akteur entdeckt und darum gebeten, einen Teil der Kronos-Malware zu schreiben. Wenn andere Cyberkriminelle die Malware auf dem Grey Market kauften, um ihre eigenen Angriffe auszuführen, erhielt Marcus für sein Werk eine Provision. Hutchins enthüllte, dass er bei mindestens zwei Gelegenheiten seinen echten Namen und seine Wohnadresse im Vereinigten Königreich an Komplizen weitergab. Diese Informationen fielen später in die Hände der US-Strafverfolgungsbehörden.
Der Mann, der „das Internet rettete“, war nun nicht mehr länger anonym. Zwei Tage später klopften Reporter an seine Haustür: Die Tochter einer der Journalisten ging damals auf dieselbe Schule wie Markus und wusste um seinen Decknamen MalwareTech Bescheid. Zunächst lehnte er jeden Kontakt mit der Presse ab, gab aber schließlich der Associated Press ein Interview. Im August 2017 wurde er, nun als Ehrengast, nach Las Vegas zur berühmten Hackerkonferenz DEF CON eingeladen.
Dort wurde er verhaftet. Nachdem er mehrere Monate arrestiert verbracht und die Vorwürfe in Bezug auf Kronos teilweise zugegeben hatte, kam Hutchins mit einer Bewährungsstrafe glimpflich davon. In einem Interview mit dem Wired-Magazin beschrieb er seine kriminelle Vergangenheit als bedauerlichen Fehler: Er habe es weniger wegen des Geldes getan als vielmehr aus dem Wunsch heraus, seine Fähigkeiten zu zeigen und in der Underground-Community Anerkennung zu finden. Zum Zeitpunkt von WannaCry hatte er den Kontakt zu Cyberkriminellen bereits seit mehr als 2 Jahren aufgegeben.
War das die letzte Epidemie?
Vor kurzem haben wir über den ILOVEYOU-Wurm berichtet, der Anfang der 2000er Jahre eine große Epidemie verursachte. Er hatte viele Gemeinsamkeiten mit WannaCry: Beide Würmer verbreiteten sich über eine Sicherheitslücke in Windows für die bereits ein Patch zur Verfügung stand, das aber zum Zeitpunkt der Infektion nicht auf allen Computern installiert worden war. Das Ergebnis waren Hunderttausende von Opfern weltweit, Schäden in Millionenhöhe für Unternehmen und verlorene Nutzerdaten.
Neben den Gemeinsamkeiten gab es aber auch viele Unterschiede. So verwendeten die Schöpfer von WannaCry (vermutlich eine Gruppe aus Nordkorea) handelsübliche Hacking-Tools, die öffentlich zugänglich waren (oder noch immer sind). ILOVEYOU löschte ein paar Dateien, während WannaCry von den Nutzern, die all ihrer Dokumente beraubt wurden, ein Lösegeld verlangte. Glücklicherweise hatten die Autoren von WannaCry das Schadprogramm mit einem Not-Aus versehen. Die Geschichte dieser Epidemie zeigt somit auch die Genialität von Malware-Jägern, die in der Lage sind, die Arbeit anderer zu übernehmen, sie in kürzester Zeit zu analysieren und einen Abwehrmechanismus zu entwickeln.
Die WannaCry-Epidemie wurde von Dutzenden von Unternehmen analysiert und erhielt maximale Aufmerksamkeit in den Medien, was sie eher zu einer Ausnahme der Regel macht. Heutzutage ist es unwahrscheinlich, dass ein Ransomware-Angriff auf ein bestimmtes Unternehmen auf den Titelseiten erscheint. Deshalb ist es wichtig, Top-Experten mit in die Schadensbegrenzung einzubeziehen und sich nicht erpressen zu lassen. Wie der Fall WannaCry zeigt, kann auch ein hochentwickelter und effektiver Angriff einen wunden Punkt haben.