17. Mai 2017 bis heute: Fünf Jahre nach der WannaCry-RansomwarePionier einer neuen Form von Kriminalität
17. Mai 2022Zuerst waren die Forderungen der Daten-Geiselnehmer noch vergleichsweise niedrig: 300 Dollar in Bitcoin sollte es kosten, um die eigenen Daten wieder entschlüsseln zu können – vorausgesetzt, man zahlte brav in den ersten drei Tagen. Danach verdoppelte sich die Summe auf 600 Dollar. Das geschah vor fünf Jahren, am17. Mai 2017. Damals ging es somit noch um Beträge, die in keinem Verhältnis zu den nun teils sechsstelligen Lösegeldsummen stehen, die heute bei den fast wöchentlich auftretenden Ransomware-Angriffen von den Tätern gefordert werden.
Diese Attacke ging in die traurige Geschichte der Datenerpressung als WannaCry-Angriff ein, bei dem sich Malware in einem noch nie dagewesenen Ausmaß um die ganze Welt verbreitete: 200 000 Windows-Computer in 150 Ländern waren betroffen und die Schäden beliefen sich auf mehrere Milliarden Dollar. Es gab nichts und niemanden, den es nicht traf: Von Privatpersonen, Telekommunikationsdiensten, Krankenhäusern und Banken über börsennotierte Konzerne und sogar Ministerien auf der ganzen Welt. Sie alle wurden von der Malware infiltriert und erpresst. Was war die Ursache?
Etwa einen Monat vor dem WannaCry-Angriff veröffentlichte eine Hacker-Gruppe namens Shadow Brokers ein von der NSA (National Security Agency) entwickeltes Exploit, das die Ausführung von Code auf einem fremden Computer ermöglichte. Die Schwachstelle hatte Microsoft zum Zeitpunkt der Veröffentlichung bereits längst mit einem Patch behoben.
Doch leider klicken viele Anwender den Hinweis auf ein neues Update der System-Software bekanntlich nur allzu gern weg und dieses Zeitfenster war genug, um Hunderttausende Rechner mit einer Malware zu infizieren, die über außergewöhnliche Fähigkeiten zu Seitwärtsbewegung im Netzwerk verfügte und sich entsprechend rasend schnell ausbreiten konnte. Gestoppt wurde der Ausbruch erst durch einen von Sicherheitsforschern entdeckten Kill Switch, der die Verbreitung stark senken konnte. Bereits verschlüsselten Systemen half das leider nicht.
Der WannaCry-Angriff war ein trauriger Meilenstein in der Historie von IT-Attacken. Retrospektiv sind dabei weniger die finanziellen Schäden, so hoch und bedauerlich sie auch waren, von historischer Bedeutung als vielmehr die Folgen dieser Spray-and-Pray-Attacke. Die Definition des Erfolges von WannaCry liegt in der öffentlich erzeugten Aufmerksamkeit, der massenhaften Zerstörung von Netzwerken und der Etablierung von Erpressung mit Daten als neuem illegalem Wirtschaftszweig.
Ransomware ist zu einem plausiblen Mittel geworden, um politische Ziele zu erreichen, Infrastrukturen lahmzulegen und Geldmittel mit einem geringen Risiko von erfolgreicher Strafverfolgung abzuschöpfen. Das ist das schmerzhafte Vermächtnis von WannaCry. Emotet, Trickbot und Dridex heißen seine Nachfolger, MosesStaff, Pay2Key oder BlackShadow sind einige Namen der Gruppen hinter den Bot-Netz-Operationen, deren Weg WannaCry ebnete.
Die Ziele wurden dabei über die Zeit hinweg dedizierter ausgewählt, die Methoden perfider und folgenreicher für alle Betroffenen. Alsbald begann eine Art Großwildjagd, bei der Hacker umfangreiche Erkundungsmaßnahmen durchführten, um die lukrativsten Ziele ausfindig zu machen. Betreiber Kritischer Infrastrukturen (KRITIS) gerieten ins Visier und die Täter verbrachten Tage, manchmal Wochen, mit der Erkundung der infiltrierten Netzwerke, um hochwertige Daten ausfindig zu machen, alle möglichen Sicherungen zu entfernen und so den Schaden zu maximieren. All das geschieht natürlich unter dem Radar der Sicherheitssysteme.
Die Cyber-Kriminellen entwickelten maßgeschneiderte Tools und führten Schätzungen über die Zahlungsfähigkeit von Unternehmen durch, um bereits vorher abzuwägen, wen es sich zu attackieren lohnt. Dabei stiegen nicht nur die Lösegelder, sondern auch der Einsatz. Die Kriminellen erhöhten den Druck auf die Betroffenen, indem sie doppelte bis dreifache Erpressung einsetzten: Bei ersterer wird mit der Verlagerung der Unternehmensdaten auf vom Angreifer kontrollierte Server inklusive der Veröffentlichung der Daten gedroht. Diese sollten bei Nicht-Zahlung auf sogenannten Shame-Blogs hochgeladen werden, auf denen die Namen und Daten der Opfer zu sehen sind, die nicht bereit waren, das Lösegeld zu zahlen.
Was bereits skrupellos genug klingt, wird noch von der Dreifachen Erpressung übertroffen: Wer die bereits genannten Forderungen nicht erfüllen wollte, dem wurde zusätzlich mit weiteren Angriffen auf die hauseigene Infrastruktur in Form von DDoS-Angriffen, also der massenweisen Versendung von E-Mails mit dem Ziel der Server-Überlastung, gedroht.
Zunehmende Bekanntheit der Schadenswirkung von Ransomware erhielt diese Form der Cyber-Kriminalität mit dem Angriff auf das USA-Unternehmen Colonial Pipelines im Mai 2021, der sich ebenfalls vor kurzem jährte. Dabei wurde eine Benzin- und Flugzeugtreibstoff-Pipeline für weite Teile des Südens und der Ostküste der Vereinigten Staaten von Amerika lahmgelegt, was zu Treibstoffengpässen führte.
Die Haltung der dortigen Regierung und vieler weiterer änderte sich daraufhin von einem reaktiven zu einem aktiven, offensiven Verhalten gegenüber dieser omnipräsenten Bedrohung und ihren Drahtziehern. Das Strafmaß wurde verschärft, die internationale Zusammenarbeit der Behörden verstärkt und es wurden Bemühungen angekündigt, um Kanäle trockenzulegen, die den Geldwäschefluss von Krypto-Währungen ermöglichen und häufig auf Ransomware-Operationen folgen.
Der nun tobende Krieg zwischen Russland und der Ukraine hat die Bedeutung von Ransomware und Kriegsführung im virtuellen Raum erneut in die Medien gebracht und das destruktive Potenzial, wie auch das Geschäft hinter der digitalen Bedrohung, deutlich zum Vorschein gebracht. Gleichzeitig steigt das Bewusstsein für IT-Sicherheit bei Regierungen, Unternehmen und Privatpersonen allmählich.
Doch noch ist kein Kraut gegen Zero-Day-Angriffe gewachsen und solange die für Hacker attraktivsten Organisationen eine reaktive statt einer aktiven und präventiven Verhaltensweise an den Tag legen, ist das Ende der goldenen Ära der Ransomware nicht am Horizont erkennbar.
Christine Schönig ist Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies GmbH.