WannaCry ist ein besonders hartnäckiges Schadprogramm für Windows-Rechner. Es befällt Computer, welche aufgrund von fehlenden Updates nicht den aktuellen Sicherheitsstandards entsprechen.
Bei WannaCry handelt es sich um sogenannte Ransomware. Das Wort wird aus ransom, dem englischen Wort für Lösegeld und ware, der typischen Bezeichnung für verschiedene Arten von Computerprogrammen (Software, Malware), gebildet. Die Idee von Ransomware lässt sich bis in das Jahr 1989 verfolgen. Damals wurden mithilfe einer infizierten Diskette Daten verschlüsselt.
Bis heute ist diese Art von Schadprogramm immer öfter zu finden. Sie verschlüsselt Benutzerdateien und verlangt in einer angegeben Frist einen bestimmten Betrag in der Kryptowährung Bitcoin. Sollte die angegebene Frist ablaufen, ohne dass der fällige Betrag gezahlt wurde, droht die Ransomware mit Dateiverlust. Gleichzeitig versucht sich WannaCry in Form eines Computerwurms durch das Netzwerk auf andere Computer auszubreiten.
Insgesamt gibt es schon 700 verschiedene Variationen des Schadprogrammes. Die Funktionalität ist jedoch bei allen ähnlich aufgebaut. Die erste Angriff der Ransomware erfolgt nicht wie zuvor angenommen über E-Mail. WannaCry sucht automatisch nach anderen Rechnern im lokalen Netzwerk und versucht diese zu infizieren. Zudem sendet das Schadprogramm IP-Anfragen ins Internet, um dadurch weitere nicht geschützte Computer befallen zu können.
Gerade solche Computer, welche nicht mit einem bestimmten Windows-Patch vom März 2017 nachgebessert wurden, waren besonders gefährdet.
Der Cyberangriff von WannaCry
Die Ransomware ist durch einen Angriff bekannt geworden, welcher am 12. Mai 2017 begann. Laut verschiedener Quellen wurden mehr als 230.000 Rechner in 150 Ländern infiziert. Jedoch ist diese Anzahl nicht ganz richtig. Es gab etliche Computer mehr, welche durch das lokale Netzwerk infiziert wurden, jedoch keine Verbindung nach außen hatten. Dadurch kann man von weit mehr Millionen infizierten Computern ausgehen.
Nicht nur kleine Unternehmen waren von diesem schwerwiegenden Angriff betroffen. Telefónica, Renault, FedEX, Schenko, PetroChina und sogar die Deutsche Bahn hatten mit WannaCry zu kämpfen. In China konnte man temporär in mehr als 20.000 Tankstellen nur noch bar bezahlen. Auch Europol beschrieb den Angriff als ein noch nie da gewesenes Ereignis.
Glücklicherweise wurde zeitnah ein Notschalter (kill switch) gefunden. Man entdeckte eine nicht registrierte Domain, auf welche die Ransomware erfolglos zuzugreifen versuchte. Nachdem diese bestimmte Domain registriert wurde und WannaCry auf sie zugreifen konnte, wurde die Weiterverbreitung begrenzt.
Jedoch hatten gerade größere Unternehmen noch länger Probleme mit dem Schadprogramm, da es sich immer noch über die lokalen Netzwerke auf andere Computer ausgebreitet hat. Der Präsident des Bundesamts für Sicherheit in der Informationstechnik Arne Schönbohm äußerte sich kritisch zum Vorfall. Er betonte, dass die Angriffswelle zeigen würde, wie verwundbar die digitalisierte Gesellschaft aktuell immer noch sei, und hielt Unternehmen dazu an, dringend stärker auf ihre Sicherheit im Bereich der IT zu achten.
Die aktuelle Schwachstelle sei seit längerem bekannt und die entsprechenden Sicherheitsupdates ständen zur Verfügung. Mehrere Sicherheitsfirmen ordnen WannaCry der Lazarus-Gruppe zu, welche im staatlichen Auftrag von Nordkorea handelt.
Empfehlungen und Schutz
Natürlich gibt es Möglichkeiten, sich vor dieser Art von Schadsoftware zu schützen. Regelmäßige Überprüfungen mit einem Antivirenprogramm können Infektionen reinigen. Zudem sollte der Computer immer auf dem aktuellen technischen Stand sein. Gerade die empfohlenen Sicherheitsupdates von Windows sollten sofort installiert werden. Verwenden Sie geeignete Schutz-Tools wie Antiviren-/Anti-Malware-Lösungen der nächsten Generation gegen fortgeschrittene Angriffe und Firewalls.
Unternehmen, die Computer mit veralteten Betriebssystemen (z. B. Windows XP) verwenden müssen, sollten ihre Rechner ausreichend sichern und sie so isoliert wie möglich halten. Öffnen Sie niemals Anhänge, Links oder Dateien von empfangenen E-Mails, welche nicht vertrauenswürdig erscheinen. Zudem sollten Sie regelmäßige Backups von den empfindlichsten Daten durchführen.