Der WannaCry-Ransomware-Angriff hätte viel schlimmer sein können

NSA-Hauptquartier, wo Software-Schwachstellen im Geheimen gehortet werden ... und dann gestohlen, durchgesickert und auf eine ahnungslose Öffentlichkeit losgelassen werden.





Sie haben es vielleicht schon gehört: Ein weltumspannender Ransomware-Angriff namens WannaCry (und WannaCrypt und WannaDecryptor) startete am Freitag und umfasste schließlich rund 200.000 Computer in 150 Ländern.

Aber es hätte viel schlimmer kommen können – und wir sind Cybersicherheitsforschern zu verdanken, die dafür gesorgt haben, dass dies nicht der Fall war.

Selbst als sich am Freitag noch die Nachricht verbreitete, dass Computer in Dutzenden von Krankenhäusern in Großbritannien böswillig gesperrt würden und eine Lösegeldforderung auf ihren Bildschirmen angezeigt wurde, war ein anonymer Forscher namens MalwareTech dabei, die weitere Verbreitung des Programms zu unterbinden .



Als sie berichtet in einem faszinierenden Blogbeitrag hatte MalwareTech eine nicht registrierte URL-Adresse im Code von WannaCry gefunden. MalwareTech vermutete, dass die Adresse etwas damit zu tun hatte, wie der Virus kommunizierte – ein häufiges Merkmal von Botnets und anderen Arten von Malware – und registrierte die Domain und beobachtete, wie der Datenverkehr von Tausenden infizierter Computer hereinströmte und den Server, auf dem die Domain gehostet wurde, fast überlastete. Normalerweise ist diese Art von Sinkhole-Move ein Versuch, ein Botnet zu stören, indem es beispielsweise Befehle an infizierte Systeme sendet.

In diesem Fall entpuppte sich die Domain als Kill-Switch – auf jedem System, das Kontakt mit der URL aufnahm, schaltete sich der Virus selbst aus. WannaCry war auf dem Weg nach draußen.

Wie MalwareTech feststellte, könnten böswillige Programmierer den Code von WannaCry jedoch leicht ändern, um stattdessen eine neue Adresse anzupingen. Und das taten sie. Am Sonntag infizierte eine neue Variante Tausende von Systemen in Russland. Auch das wurde eingeschränkt dank der schnellen Arbeit eines Cybersicherheitsforschers .



In der Zwischenzeit unternahm Microsoft den ungewöhnlichen Schritt, einen Patch für einen Fehler in der nicht unterstützten Version von Windows zu verteilen, den WannaCry ausnutzte. Die US National Security Agency war es gewesen Horten der Schwachstelle , aber es wurde nach dem Diebstahl der Geheimnisse der Agentur durch eine Hackergruppe namens Shadow Brokers durchgesickert.

Leider ist Ransomware, wie wir bereits erwähnt haben, aus einem einfachen Grund zu einer beliebten Form der Cyberkriminalität geworden: Es zahlt sich aus . Es ist auch schwierig – wenn auch nicht unmöglich – aufzuhören. Abgesehen von den Anschlägen an diesem Wochenende haben Kriminelle einen Teil des öffentlichen Verkehrssystems von San Francisco und ein Krankenhaus in Los Angeles gesperrt – im letzteren Fall zwangen sie das Krankenhaus, 17.000 US-Dollar aufzubringen, um wieder Zugang zu seinen Akten zu erhalten.

Auch die Architekten von WannaCry suchten nach einem schnellen Zahltag. Aber sie machten es ziemlich einfach, dem Geld zu folgen: Der Code von WannaCry enthielt die Adressen von drei Bitcoin-Geldbörsen. Am Montagmittag sagte ein Twitter-Bot, der Zahlungen an die Wallets verfolgt, dass die Konten insgesamt etwas mehr als 55.000 US-Dollar in sich hatten.



Dank einer solchen Prüfung haben einige Experten spekuliert, wer auch immer hinter WannaCry steckt wird es nicht wagen, eine Auszahlung vorzunehmen aus den Brieftaschen, aus Angst, dass es ihre Tarnung sprengt. Auch die Summe selbst könnte ihnen zu denken geben. Sicher, es ist viel Geld – aber es hätte viel mehr sein können.

(Weiterlesen: Malware-Tech , Los Angeles Zeiten , BBC , Quarz , Daten als Geisel zu halten: Das perfekte Internet-Verbrechen? , Zwei Möglichkeiten, Ransomware aufzuhalten )



verbergen