WannaCry: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „* Ein Ransomware-Angriff im Jahr 2017, der weltweit über 200.000 Computer in 150 Ländern infizierte. * Nutzte eine von der NSA entwickelte Exploit-Technik, d…“) |
|||
| Zeile 1: | Zeile 1: | ||
| − | * | + | =Grundsätzliches= |
| − | * | + | * '''WannaCry''' war ein weltweiter '''Ransomware-Angriff''', der am 12. Mai 2017 begann und hunderttausende Systeme in über 150 Ländern betraf |
| − | * | + | * Die Malware verschlüsselte Dateien auf infizierten Computern und forderte ein Lösegeld in Bitcoin für die Entschlüsselung |
| + | * WannaCry nutzte die '''EternalBlue'''-Schwachstelle (CVE-2017-0144) in Microsoft Windows aus, die von der NSA entdeckt und später durch die Gruppe '''Shadow Brokers''' geleakt wurde | ||
| + | * Die Malware verbreitete sich selbstständig in Netzwerken, indem sie ungesicherte Windows-Systeme infizierte | ||
| + | * Der Angriff legte Krankenhäuser, Transportunternehmen, Behörden und Unternehmen lahm und verursachte geschätzte Schäden in Milliardenhöhe | ||
| + | * Nordkorea wurde von westlichen Geheimdiensten als mutmaßlicher Urheber des Angriffs identifiziert | ||
| + | |||
| + | =Technische Details= | ||
| + | * WannaCry war eine Kombination aus '''Ransomware''' und '''Wurm''', was eine schnelle und unkontrollierte Verbreitung ermöglichte | ||
| + | * Die Malware nutzte die '''EternalBlue'''-Exploit-Technik, um sich über das SMBv1-Protokoll in Windows-Netzwerken zu verbreiten | ||
| + | * Nach der Infektion verschlüsselte WannaCry Dateien und änderte deren Endung zu '''.WNCRY''' | ||
| + | * Ein Lösegeld von 300 bis 600 US-Dollar in Bitcoin wurde für die Entschlüsselung verlangt | ||
| + | * Die Malware enthielt einen '''Kill-Switch''', der durch den Sicherheitsforscher [[Marcus Hutchins]] entdeckt und aktiviert wurde, wodurch die weitere Verbreitung gestoppt wurde | ||
| + | |||
| + | = Timeline = | ||
| + | |||
| + | == 2016 == | ||
| + | * Die NSA entdeckt die '''EternalBlue'''-Schwachstelle in Microsoft Windows und nutzt sie für offensive Cyberoperationen | ||
| + | |||
| + | == 2017 == | ||
| + | * Die Gruppe '''Shadow Brokers''' veröffentlicht NSA-Hacking-Tools, darunter EternalBlue | ||
| + | * Microsoft veröffentlicht am 14. März 2017 ein '''Sicherheitsupdate (MS17-010)''', um die Schwachstelle zu schließen | ||
| + | * Am 12. Mai 2017 beginnt der weltweite WannaCry-Angriff, wobei besonders kritische Infrastrukturen betroffen sind | ||
| + | * [[Marcus Hutchins]] entdeckt den '''Kill-Switch''' in der Malware und registriert die Domain, die die Ausbreitung stoppt | ||
| + | |||
| + | == 2018 - 2021 == | ||
| + | * Die USA und Großbritannien beschuldigen Nordkorea für den Angriff und verhängen Sanktionen | ||
| + | * Unternehmen und Behörden verstärken Maßnahmen gegen Ransomware-Angriffe | ||
| + | * EternalBlue bleibt eine Bedrohung, da viele ungepatchte Systeme weiterhin verwundbar sind | ||
| + | |||
| + | = Entdeckung und Analyse = | ||
| + | * Der Angriff wurde innerhalb von Stunden weltweit erkannt, da sich WannaCry extrem schnell verbreitete | ||
| + | * Sicherheitsfirmen analysierten die Malware und bestätigten die Nutzung des EternalBlue-Exploits | ||
| + | * [[Marcus Hutchins]] fand eine eingebettete Domain in WannaCry, die als Kill-Switch diente | ||
| + | * Die NSA wurde kritisiert, da sie die Schwachstelle nicht früher an Microsoft gemeldet hatte | ||
| + | |||
| + | = Schutzmaßnahmen = | ||
| + | * Unverzügliche Installation von '''Sicherheitsupdates''', insbesondere '''MS17-010''' | ||
| + | * '''Deaktivierung von SMBv1''', um die Verbreitung solcher Malware zu verhindern | ||
| + | * Verwendung von '''aktuellen Antivirus- und Endpoint-Protection-Lösungen''' | ||
| + | * Implementierung von '''regelmäßigen Backups''', um Ransomware-Schäden zu minimieren | ||
| + | * Segmentierung von Netzwerken und Einsatz von '''Zero-Trust-Sicherheitsmodellen''' | ||
| + | |||
| + | = Links = | ||
| + | * https://www.microsoft.com/security/blog/2017/05/12/protecting-against-wannacrypt-ransomware/ | ||
| + | * https://www.kaspersky.com/blog/wannacry-ransomware-attack/17414/ | ||
| + | * https://www.fireeye.com/blog/threat-research/2017/05/wannacry-malware-profile.html | ||
| + | * https://www.wired.com/story/wannacry-ransomware/ | ||
Aktuelle Version vom 9. März 2025, 06:21 Uhr
Grundsätzliches
- WannaCry war ein weltweiter Ransomware-Angriff, der am 12. Mai 2017 begann und hunderttausende Systeme in über 150 Ländern betraf
- Die Malware verschlüsselte Dateien auf infizierten Computern und forderte ein Lösegeld in Bitcoin für die Entschlüsselung
- WannaCry nutzte die EternalBlue-Schwachstelle (CVE-2017-0144) in Microsoft Windows aus, die von der NSA entdeckt und später durch die Gruppe Shadow Brokers geleakt wurde
- Die Malware verbreitete sich selbstständig in Netzwerken, indem sie ungesicherte Windows-Systeme infizierte
- Der Angriff legte Krankenhäuser, Transportunternehmen, Behörden und Unternehmen lahm und verursachte geschätzte Schäden in Milliardenhöhe
- Nordkorea wurde von westlichen Geheimdiensten als mutmaßlicher Urheber des Angriffs identifiziert
Technische Details
- WannaCry war eine Kombination aus Ransomware und Wurm, was eine schnelle und unkontrollierte Verbreitung ermöglichte
- Die Malware nutzte die EternalBlue-Exploit-Technik, um sich über das SMBv1-Protokoll in Windows-Netzwerken zu verbreiten
- Nach der Infektion verschlüsselte WannaCry Dateien und änderte deren Endung zu .WNCRY
- Ein Lösegeld von 300 bis 600 US-Dollar in Bitcoin wurde für die Entschlüsselung verlangt
- Die Malware enthielt einen Kill-Switch, der durch den Sicherheitsforscher Marcus Hutchins entdeckt und aktiviert wurde, wodurch die weitere Verbreitung gestoppt wurde
Timeline
2016
- Die NSA entdeckt die EternalBlue-Schwachstelle in Microsoft Windows und nutzt sie für offensive Cyberoperationen
2017
- Die Gruppe Shadow Brokers veröffentlicht NSA-Hacking-Tools, darunter EternalBlue
- Microsoft veröffentlicht am 14. März 2017 ein Sicherheitsupdate (MS17-010), um die Schwachstelle zu schließen
- Am 12. Mai 2017 beginnt der weltweite WannaCry-Angriff, wobei besonders kritische Infrastrukturen betroffen sind
- Marcus Hutchins entdeckt den Kill-Switch in der Malware und registriert die Domain, die die Ausbreitung stoppt
2018 - 2021
- Die USA und Großbritannien beschuldigen Nordkorea für den Angriff und verhängen Sanktionen
- Unternehmen und Behörden verstärken Maßnahmen gegen Ransomware-Angriffe
- EternalBlue bleibt eine Bedrohung, da viele ungepatchte Systeme weiterhin verwundbar sind
Entdeckung und Analyse
- Der Angriff wurde innerhalb von Stunden weltweit erkannt, da sich WannaCry extrem schnell verbreitete
- Sicherheitsfirmen analysierten die Malware und bestätigten die Nutzung des EternalBlue-Exploits
- Marcus Hutchins fand eine eingebettete Domain in WannaCry, die als Kill-Switch diente
- Die NSA wurde kritisiert, da sie die Schwachstelle nicht früher an Microsoft gemeldet hatte
Schutzmaßnahmen
- Unverzügliche Installation von Sicherheitsupdates, insbesondere MS17-010
- Deaktivierung von SMBv1, um die Verbreitung solcher Malware zu verhindern
- Verwendung von aktuellen Antivirus- und Endpoint-Protection-Lösungen
- Implementierung von regelmäßigen Backups, um Ransomware-Schäden zu minimieren
- Segmentierung von Netzwerken und Einsatz von Zero-Trust-Sicherheitsmodellen