WannaCry: Der Wurm, der die Welt gefressen hat
Uralte nordische Sagen sprechen von einer gewaltigen Schlange namens Jörmungandr, die so groß ist, dass sie die Welt umkreist und ihren eigenen Schwanz in ihren Zähnen hält.
Fantastische Legenden wie diese werden oft nur in Mythen erwähnt, aber letzten Freitag erlebten wir die Geburt einer echten digitalen "Weltschlange", eines Wurms, der sich so weit ausbreitete, dass er den Globus umfasste und Dienste wie das Vereinigte Königreich ansteckte Health Service und große Unternehmen in anderen Teilen der Welt wie Telefónica in Spanien.
Obwohl Experten immer noch versuchen herauszufinden, wie sich dieser Wurm weiter ausbreitet und wie man der Bedrohung entgegenwirkt, haben wir eine gute Vorstellung davon, was passiert ist und wie Sie Maßnahmen ergreifen können, um Schaden für Ihr System zu vermeiden.
Was ist passiert?
Am 12. Mai 2017 fand eine massive Cyberattacke durch eine unbekannte Ransomware statt (lesen Sie hier mehr über Ransomware). Schließlich wurde es WannaCry genannt, und es gelang ihm, beispiellose 230.000 Systeme in 150 Ländern zu infizieren, die eine Kombination aus Phishing und der Ausnutzung von ungepatchten Systemen durch lokale Server Message Blocks (SMBs) verwendeten.
Die Ransomware würde Sie aus Ihren Dateien sperren und Ihnen einen Bildschirm zeigen (siehe unten), der innerhalb von drei Tagen $ 300 in Bitcoin verlangte, um wieder Zugang zu ihnen zu bekommen, sonst würde sich der Preis verdoppeln.
Obwohl Ransomware normalerweise so funktioniert, gab es einen kleinen Haken, der sie noch schneller verbreiten ließ. WannaCry nutzte einen Fehler in SMB (der für das Teilen von Dateien und Druckern verantwortlich ist), der es ermöglichte, dass es sich auf andere Computer innerhalb desselben Subnetzes ausbreitete. Es dauerte nur die Infektion eines einzigen Computers, um das gesamte Netzwerk zu plündern. Dies machte die Infektion im Grunde zu einem Albtraum für den NHS und andere große Institutionen.
Vielleicht ist noch eine erwähnenswerte Tatsache, dass der SMB-Exploit vor einem Monat aus dem NSA-Hacking-Toolkit-Leak genommen wurde. Wir haben über ein ähnliches Leck der Vault 7-Dateien des CIA berichtet, das auch eine Vielzahl funktionierender Exploits enthielt, die von Hackern jederzeit zum Schreiben ähnlicher Malware verwendet werden könnten.
Der Kill-Schalter
Ein unbekannter Sicherheitsforscher, der den Spitznamen "MalwareTech" trägt, hat eine Domain registriert, die in WannaCrys Code gefunden wurde und die Verbreitung der Software verhindert hat. Sie sehen, jedes Mal, wenn die Malware auf einem Computer laufen würde, würde sie überprüfen, ob die Domain existiert (es ist übrigens iuqerfsodp9ifjaposdfjhgosurijfaewerrwewe.com ). Sollte es registriert werden, könnte sich die Malware mit ihm verbinden und würde sich sofort nicht mehr verbreiten. Es scheint, dass der Hacker, der es geschrieben hat, das Wasser testen und einen Notfallplan haben wollte, falls die Dinge absolut drunter und drüber gehen sollten. Dieser glückliche Moment hielt die Ransomware davon ab, mehr Chaos anzurichten ... zumindest für den Moment.
Hier ist die grimmige Wahrheit: Hier gibt es kein Happy End. Dekompilieren Sie den Code, und Sie können leicht die Teile finden, wo die Anwendung die WinAPI-Funktionen "InternetOpenURLA ()" oder "InternetOpenA ()" aufruft. Schließlich können Sie das Snippet dort bearbeiten, wo es versucht, sich mit dem Kill zu verbinden Domain wechseln Es erfordert keinen besonders fähigen Programmierer, dies zu tun, und wenn ein Hacker die gute Idee bekommt, eine neue Version von WannaCry mit dem Kill-Schalter zu erstellen, bevor alle ihre Systeme patchen, wird die Verbreitung fortgesetzt. Noch unternehmungslustigere Hacker werden sogar den Bitcoin-Account bearbeiten, an den die Zahlungen gehen müssen und einen hohen Gewinn machen.
Versionen von WannaCry mit verschiedenen Kill-Switch-Domains wurden bereits in freier Wildbahn entdeckt und wir müssen noch bestätigen, ob eine Version ohne Kill-Switch erschienen ist.
Was kannst du tun?
Angesichts dessen, was passiert ist, hat Microsoft schnell mit Patches reagiert und sogar nicht unterstützte Betriebssystemversionen wie Windows XP abgedeckt. Solange Sie Ihr System auf dem neuesten Stand halten, sollten Sie die Infektion auf SMB-Ebene nicht erleben. Sie können jedoch weiterhin Infektionen erleiden, wenn Sie eine Phishing-E-Mail öffnen. Denken Sie daran, keine ausführbaren Dateien zu öffnen, die als E-Mail-Anhänge gesendet wurden. Solange Sie ein wenig Vorsicht üben, sollten Sie in der Lage sein, den Ansturm zu überleben.
Was die gehackten Regierungsinstitutionen betrifft, so würde dies nicht passieren, wenn sie ihre geschäftskritischen Systeme einfach ausgrenzen würden.
Sollten wir mehr waghalsige Angriffe erwarten, nachdem Hacker Exploits implementiert haben, die in den jüngsten US-Sicherheitslecks gefunden wurden? Sagen Sie uns, was Sie in einem Kommentar denken!