«Wanna Cry»

15. Mai 2017 13:15; Akt: 15.05.2017 13:19 Print

«Die Atombombe unter der Schadsoftware»

So rasant wie «Wanna Cry» hat sich bisher keine andere Ransomware verbreitet. Ein Sicherheitsexperte über die Tätersuche und einen Hoffnungsschimmer.

Bildstrecke im Grossformat »

Zum Thema
Fehler gesehen?

Die Ransomware «Wanna Cry» hat innerhalb von Tagen mehr als 200'000 Computer in über 150 Ländern infiziert, darunter 200 Systeme in der Schweiz. Die Malware infiziert Windows-PCs und verschlüsselt dabei Dateien. Dann fordern Cyberkriminelle ein Lösegeld, das mit der Kryptowährung Bitcoin zu bezahlen ist. Bisher haben sie mit der Attacke rund 45'000 US-Dollar erpresst. Ein US-Sicherheitsforscher hat das Programm als «Atombombe unter der Ransomware» bezeichnet. Im Code finden sich Teile der Spionage-Software der NSA, die im März von Hackern veröffentlicht wurde.

Umfrage
Waren Sie schon einmal von Ransomware betroffen?
2 %
2 %
89 %
7 %
Insgesamt 6592 Teilnehmer

Zwar hatte Microsoft die Lücke damals bereits geschlossen und sogar ein Notfall-Update für das nicht mehr unterstützte Windows XP zur Verfügung gestellt. Die Patches wurden aber offenbar nicht auf allen anfälligen Systemen installiert. 20 Minuten hat mit Marc Ruef, Sicherheitsforscher bei der Zürcher Firma Scip AG, über den aktuellen Fall gesprochen.

Herr Ruef, ein 22-jähriger Sicherheitsforscher hat am Wochenende mit der Registrierung einer Domain eine Art Notbremse gezogen. Ist die Angriffswelle damit nun vorbei?
Die Entwickler der Malware wollten die Möglichkeit haben, die Ausbreitung unterbinden zu können. Zu diesem Zweck sollte sich die Malware jeweils mit einer Website verbinden. Falls diese ansprechbar war, wurde auf eine Infektion verzichtet. So der Plan. Die dafür genutzte Domain war jedoch noch nicht registriert. Das holte der junge IT-Experte nach und konnte so eine weitere Verbreitung eindämmen. Mit geringem Aufwand ist es jedoch möglich, eine neue Variante der Malware in Umlauf zu bringen, die eine andere Domain ansteuert oder ganz auf eine solche Notbremse, Killswitch genannt, verzichtet.

Ist eine solche bereits im Umlauf?
Es gab tatsächlich Gerüchte, dass eine solche schon in Umlauf sei. Der erste Tweet, der dies behauptet hat, wurde aber kurze Zeit nach der Veröffentlichung wieder gelöscht. Momentan gibt es keine gesicherten Informationen hierzu.

Wie ist die Attacke einzuordnen? Gab es Vergleichbares in der Vergangenheit?
Es gab in der Vergangenheit mehrere Malware-Attacken, die aufgrund ihrer Verbreitung und Auswirkungen als historisch relevant gelten. Dazu gehören im Windows-Umfeld zum Beispiel der Conficker- und der Blaster-Wurm. Diese Malware-Wellen haben sich in erster Linie auf die Schädigung und das Abschiessen von Systemen konzentriert. Sie hatten keinen direkten monetären Hintergrund. Mit «Wanna Cry» wurde jedoch zum ersten Mal ein solches Ausmass mit einer Ransomware erreicht. Diese ist darum bemüht, Geld von den Opfern zu erpressen.

Wird es möglich sein, die Drahtzieher ausfindig zu machen?
Irgendwo muss die Malware freigelassen worden sein. Falls dieser Zeitpunkt und das dafür genutzte System identifiziert werden können, lassen sich die Urheber identifizieren. Manchmal finden sich auch im Code von Malware entsprechende Hinweise zu den Drahtziehern. Oder man beobachtet die Bitcoin-Transaktionen und kann über diese herausfinden, wohin das Geld fliesst. Alle Ansätze sind jedoch mit hohem Aufwand verbunden und setzen voraus, dass die Cyberkriminellen Fehler gemacht haben oder noch machen werden. Es kann also auch durchaus sein, dass man die Drahtzieher nie identifizieren wird.

Die Bezahlung des Lösegelds läuft über Bitcoin. Auch im Darknet wird dieses Zahlungsmittel neben anderen Kryptowährungen eingesetzt. Müsste man diese nicht verbieten? Wäre das überhaupt möglich?
Bitcoin ist eine Währung. Währungen zu verbieten, ist auf rechtlicher Ebene zwar möglich. Per Definition sind es aber genau die Kriminellen, die sich nicht daran halten werden. Ein technisches Durchsetzen eines Verbots ist praktisch unmöglich. Es liegt in der Natur von Bitcoin, dass das zugrunde liegende Konzept auf simplen Mechanismen basiert, die nicht einfach so unterbunden werden können. Und falls doch, dann weicht man halt auf eine andere Kryptowährung aus.

Wird es ein Decryption-Tool geben, mit dem Betroffene ihre Files wiederherstellen können, ohne Lösegeld zu bezahlen? Das war ja teilweise bei anderer Ransomware der Fall.
Momentan sind verschiedene Fake-Lösungen in Umlauf, die ihrerseits die Gutgläubigkeit der Leute ausnutzen, um selber eine Infektion durchsetzen zu können. Es ist durchaus möglich, dass es einen Decryptor geben wird. Es kann aber sein, dass eine Veröffentlichung noch Wochen auf sich warten lässt.

Wer ist Ihrer Meinung nach schuld an dem Desaster?
Das ist eine spannende Frage. Die Hauptschuld trifft zweifelsfrei die Malware-Entwickler, die mit kriminellen Absichten agieren. Eine Mitschuld trifft aber auch alle anderen: Die NSA hat Informationen zurückgehalten, die Hackergruppe Shadow Brokers hat diese Informationen uneingeschränkt öffentlich gemacht, Microsoft hat ein unsicheres System entwickelt und die Nutzer beziehungsweise IT-Abteilungen haben sich zu spät um das Risiko gekümmert. Mit der Zunahme der Komplexität und Verbreitung von Computersystemen werden wir diesen Effekt in Zukunft immer wieder sehen. Hier muss gesellschaftlich auf allen Ebenen ein Umdenken stattfinden.

IT-Experte Ben Rapp erklärt, wie der Angriff ablief. (Video: Tamedia/AP)

(tob)

Kommentarfunktion geschlossen
Die Kommentarfunktion für diese Story wurde automatisch deaktiviert. Der Grund ist die hohe Zahl eingehender Meinungsbeiträge zu aktuellen Themen. Uns ist wichtig, diese möglichst schnell zu sichten und freizuschalten. Wir bitten um Verständnis.

Die beliebtesten Leser-Kommentare

  • G. Ast am 15.05.2017 13:40 Report Diesen Beitrag melden

    Nicht bezahlen!

    In der Umfrage fehlt: Nein, ich habe nicht bezahlt und es ist trotzdem nichts passiert.

    einklappen einklappen
  • Ruedi Müller am 15.05.2017 13:29 via via Mobile Report Diesen Beitrag melden

    Frage zur Verbreitung

    Guter Artikel Was ich nicht ganz verstehe. Die Schadsoftware könnte ja nur wirken, weil jemand auf den Link in einem Mail clickte. Wie kommt es dann, das z.B. die elektronischen Anzeigen der Deutschen Bahn nicht mehr funktionieren. Der Zusammenhang ist mir echt nicht klar.

    einklappen einklappen
  • StefdeChef am 15.05.2017 13:50 Report Diesen Beitrag melden

    schlechte Antwortmöglichkeiten

    Es fehlt die Antwort: Ja, ich habe nicht bezahlt und die Daten ab meinem Backup wieder hergestellt.

Die neusten Leser-Kommentare

  • Stefan am 15.05.2017 18:13 via via Mobile Report Diesen Beitrag melden

    Alter tubak

    "Der erste seiner Art in dem Ausmass." - was für ein Schwachsinn. Locky war viel weiter verbreitet. Wäre noch Cerber und Co. WannaCry ist der erste Cryptolocker der von der Öffentlichkeit/Presse gepusht wird. Und ja ich verwende lieber den namen Cryptolocker, denn in erster Linie verschlüsselt es das System. Erpressen kann man auch anders im www.

  • A.Surrer am 15.05.2017 16:54 Report Diesen Beitrag melden

    Was gibt es hier zu diskutieren.

    Wenn die System-Admins ihren Job nicht machen, muss sich der CEO nicht wundern, wenn dann so etwas passiert. Das einzige was ein Admin hätte machen müssen, ist SEIN JOB, dafür würde er ja bezahlt, dabei müsste er die Lücke nicht einmal selber schliessen sondern nur den Patch von M$ laufen lassen. Interessant ist doch, das keiner der grossen Geheimdienste mit ihren tausenden von Mitarbeitern und Milliarden an Budget die Attacke stoppten, nein, ein ganz normaler Dude musste dies machen! Wieso geben wir diesen Diensten überhaupt so viel Geld und Macht?

    • Karl am 15.05.2017 17:05 via via Mobile Report Diesen Beitrag melden

      @A.Surrer

      du weisst aber schon das die NSA genau die Lücke eine Zeitlang selbst ausgenutzt hat? Und das die Software auch von NSA stammt?

    • Swissgirl am 15.05.2017 17:48 via via Mobile Report Diesen Beitrag melden

      @A.Surrer

      Weil die Geheimdienste über solche Lücken selber Zugang zu den Systemen und somit den Daten ihrer Zielpersonen erhalten!

    • dr am 15.05.2017 18:24 via via Mobile Report Diesen Beitrag melden

      @A.Surrer

      Solche Hotfixes in einem Business einfach zu installieren ist kaum möglich, den zuerst muss mal der Impact auf alle Business Applikationen getestet werden. Change Prozess benötigen Zeit. In einem regulierten Umfeld (GxP) noch viel mehr. Der Hotfix kann nämlich mit den Applikationen inkompatibel sein. Ist nicht mal so hoppla die hopp zu machen.

    • Roger am 15.05.2017 18:24 Report Diesen Beitrag melden

      Jein

      Nicht ganz. Die Infektion erfolgt auch über einen Link in Mails, da nützt der Patch überhaupt nichts. Dieser verhindert nur dass der Trojaner sich selbst auf weitere Systeme kopieren kann. Und wenn die Benutzer anfangen würden selbst Verantwortung zu übernehmen und nicht auf jeden Link zu klicken statt alles auf den Admin zu schieben würde auch weniger passieren. Deshalb lassen wir unsere Benutzer auch keine Software aus dem Internet laden (was beim anklicken des Links passiert). Aber dann ist der Admin ja wieder ein Böser weil er die Benutzer einschränkt...

    • A.Surrer am 15.05.2017 18:41 Report Diesen Beitrag melden

      Ich betreibe selber zwei Servers

      Habe daher schon eine gewisse Ahnung. 1.wird heute mit VMs gearbeitet, ist zwar umständlicher, doch viel sicherer, z.b mein Mail Server ist eine eigene VM (alle vms sind centOS) also wenn du den Mailserver knackst hast du nur darauf Zugriff. 2. von einem Hotfix hatte ich noch nie Angst, nur von "OS Upgrades", also z.b von 4.1x auf 4.2. 3. dies sagen mir Leute die damit ihr Geld verdienen "Never tpuch a working system" und da kommt eben die Faulheit zum Vorschein, und für Aussenstehende nicht zu begreifen, wo wären wir heute wenn die Menschheit diesen Slogan "akzeptieren würde".

    einklappen einklappen
  • Didi am 15.05.2017 16:52 Report Diesen Beitrag melden

    Büpf-Befürworter sind mitschuldig!

    Die Befürworter des Büpf (das heisst alle jene, welche das Referendum damals nicht unterschrieben haben) sind mitschuldig an der Verbreitung solcher Schad-Software: Durch die neuen Cyberüberwachungsgesetze werden Provider ja gesetzlich gezwungen, Löcher in ihre Software zu programmieren und solche Löcher können dann eben von solchen Verbrechern genutzt werden!

  • Miki Jac am 15.05.2017 16:49 Report Diesen Beitrag melden

    Linux ist die Lösung

    Mit Dem Linux Betriebssystem kann ich sicher sein. Es gibt nicht so viele Viren für Linux als für Windows. Ich empfehle alle Schweizer Schweizerinen Linux zu nutzen.

    • Jacky am 15.05.2017 17:07 via via Mobile Report Diesen Beitrag melden

      @Miki Jac

      Das Problem ist, sobald linux oder Apple den grössten Marktanteil hätten, würden die Entwickler dieser Tools für MacOS oder Linux entwickeln. Also wäre dann einfach dein heiss geliebtes Linux das Ziel.

    • Siggi am 15.05.2017 17:13 Report Diesen Beitrag melden

      Linux

      Jain. Die Sicherheitsmechanismen sind bei Unixoiden Systemen einfach grundsätzlich besser gestaltet. Das schränkt aber die Useability ein. Nun haben sie den Grund, warum Linux niemals einen grossen Marktanteil gewinnen wird.

    • pfannenpinguin am 15.05.2017 17:19 Report Diesen Beitrag melden

      musst Du debian

      also, ich würde fast behaupten das windows sicherer ist als so manche linux distribution.

    • Fritz am 15.05.2017 17:20 Report Diesen Beitrag melden

      @Jack

      Stimmt leider nicht ganz. Unter Unix Betriebssystemen zu denen OSX und Linux gehören, kann man Software nicht "einfach so" installieren. Ohne Berechtigung zur Installation ohne Passwort geht da nicht viel. Und schon gar nicht auf Systemebene. Da reicht es nicht "Administrator" zu sein.

    • Ruedi am 15.05.2017 18:26 via via Mobile Report Diesen Beitrag melden

      @Miki Jac

      haha!! Unix-Systeme wurden schon gehackt, bevor es Windows gab.

    • dr am 15.05.2017 18:27 via via Mobile Report Diesen Beitrag melden

      @Miki Jac

      Solche Probleme können auch Linux und andere Unixoiden OS genauso haben. Die Verbreitung ist geringer und damit die Zielgruppe. Apple mit macOS, Aldi BSD Unix Derivat, ist auch zunehmend das Ziel.

    einklappen einklappen
  • Black am 15.05.2017 16:33 via via Mobile Report Diesen Beitrag melden

    Ich verstehe.

    Das diese bösen, blöden Updates/Patches des Teufels sind. Und das manchmal noch ein Neustart erforderlich ist. Unerhört so etwas ! Ich würde auch auf den Neustart bzw Installation verzichten, wenn der PC noch mit Vista läuft. Zeit ist nun mal Geld. :-)

    • Bärner Ingeniör am 15.05.2017 16:46 Report Diesen Beitrag melden

      Fass Voll und die Kiste steht

      Ich würde einmal die Festplatte "defragmentieren" und zwar auf allen Partitionen. Windows legt während des Betriebs so viel "Messiware" ab, so dass die Festplatte immer langsamer und langsamer wird. Habe meine Doktor arbeit über diese Phänomen verfasst. Das NTFS ist ein NICHT durchdachtes Filesystem und daher gibt es so viele Leichen darin, werden die nicht entfernt, wird es rrichtig LANGSAAAAM. Dann kommt noch die abgemurkste Registry mit ihren aber10000 Verzweigungen, dann ist das Fass Voll und die Kiste steht. Das ist Microsoft Windows. Windows ist ein MESSI-System!

    • Der Eidgenoss am 15.05.2017 17:35 via via Mobile Report Diesen Beitrag melden

      @Bärner Ingeniör

      und auf einer SSD wohl dann auch... Gut gelacht Neu aufsetzen von Zeit zu Zeit und dann Deinen Datenbackup 'reinhauen' bringt wohl mehr.

    einklappen einklappen