Grundsätzliches

• WannaCry war ein weltweiter Ransomware-Angriff, der am 12. Mai 2017 begann und hunderttausende Systeme in über 150 Ländern betraf
• Die Malware verschlüsselte Dateien auf infizierten Computern und forderte ein Lösegeld in Bitcoin für die Entschlüsselung
• WannaCry nutzte die EternalBlue-Schwachstelle (CVE-2017-0144) in Microsoft Windows aus, die von der NSA entdeckt und später durch die Gruppe Shadow Brokers geleakt wurde
• Die Malware verbreitete sich selbstständig in Netzwerken, indem sie ungesicherte Windows-Systeme infizierte
• Der Angriff legte Krankenhäuser, Transportunternehmen, Behörden und Unternehmen lahm und verursachte geschätzte Schäden in Milliardenhöhe
• Nordkorea wurde von westlichen Geheimdiensten als mutmaßlicher Urheber des Angriffs identifiziert

Technische Details

• WannaCry war eine Kombination aus Ransomware und Wurm, was eine schnelle und unkontrollierte Verbreitung ermöglichte
• Die Malware nutzte die EternalBlue-Exploit-Technik, um sich über das SMBv1-Protokoll in Windows-Netzwerken zu verbreiten
• Nach der Infektion verschlüsselte WannaCry Dateien und änderte deren Endung zu .WNCRY
• Ein Lösegeld von 300 bis 600 US-Dollar in Bitcoin wurde für die Entschlüsselung verlangt
• Die Malware enthielt einen Kill-Switch, der durch den Sicherheitsforscher Marcus Hutchins entdeckt und aktiviert wurde, wodurch die weitere Verbreitung gestoppt wurde

Timeline

2016

• Die NSA entdeckt die EternalBlue-Schwachstelle in Microsoft Windows und nutzt sie für offensive Cyberoperationen

2017

• Die Gruppe Shadow Brokers veröffentlicht NSA-Hacking-Tools, darunter EternalBlue
• Microsoft veröffentlicht am 14. März 2017 ein Sicherheitsupdate (MS17-010), um die Schwachstelle zu schließen
• Am 12. Mai 2017 beginnt der weltweite WannaCry-Angriff, wobei besonders kritische Infrastrukturen betroffen sind
• Marcus Hutchins entdeckt den Kill-Switch in der Malware und registriert die Domain, die die Ausbreitung stoppt

2018 - 2021

• Die USA und Großbritannien beschuldigen Nordkorea für den Angriff und verhängen Sanktionen
• Unternehmen und Behörden verstärken Maßnahmen gegen Ransomware-Angriffe
• EternalBlue bleibt eine Bedrohung, da viele ungepatchte Systeme weiterhin verwundbar sind

Entdeckung und Analyse

• Der Angriff wurde innerhalb von Stunden weltweit erkannt, da sich WannaCry extrem schnell verbreitete
• Sicherheitsfirmen analysierten die Malware und bestätigten die Nutzung des EternalBlue-Exploits
• Marcus Hutchins fand eine eingebettete Domain in WannaCry, die als Kill-Switch diente
• Die NSA wurde kritisiert, da sie die Schwachstelle nicht früher an Microsoft gemeldet hatte

Schutzmaßnahmen

• Unverzügliche Installation von Sicherheitsupdates, insbesondere MS17-010
• Deaktivierung von SMBv1, um die Verbreitung solcher Malware zu verhindern
• Verwendung von aktuellen Antivirus- und Endpoint-Protection-Lösungen
• Implementierung von regelmäßigen Backups, um Ransomware-Schäden zu minimieren
• Segmentierung von Netzwerken und Einsatz von Zero-Trust-Sicherheitsmodellen

Links

• https://www.microsoft.com/security/blog/2017/05/12/protecting-against-wannacrypt-ransomware/
• https://www.kaspersky.com/blog/wannacry-ransomware-attack/17414/
• https://www.fireeye.com/blog/threat-research/2017/05/wannacry-malware-profile.html
• https://www.wired.com/story/wannacry-ransomware/