Nur ein Bruchteil der Daten kommt zurück WannaCry – noch kein Aufatmen möglich

200.000 Opfer, 97 Länder, aber bisher nur rund 77.000 Dollar Lösegeld – die Zahlen wirken beeindruckend. Beeindruckend deshalb, weil die erste Angriffswelle von WannaCry durch Zufall relativ schnell gestoppt wurde. Doch zum Aufatmen ist es leider noch zu früh, zum einen weil erst nach und nach das wahre Ausmaß des Angriffs bekannt werden wird und zum anderen, weil die Attacken ohne viel Aufwand wieder gestartet werden können.

Bangen und Hoffen

Für die Opfer des jüngsten Ransomware-Zwischenfalls heißt es aktuell immer noch Bangen und Hoffen. Check Point-Forscher fanden heraus, dass die Wiederherstellung der Dateien der von WannaCry Betroffenen wahrscheinlich auch nach Zahlung des Lösegelds nicht gewährleistet ist. Ein problematisches Zahlungs- und Entschlüsselungssystem sowie eine falsche Darstellung des Entschlüsselungsvorgangs stellen die Fähigkeit der WannaCry-Entwickler, ihr Versprechen, die Dateien wieder zu entschlüsseln, infrage. Bisher (Stand der Erstellung dieses Beitrags) haben sich auf den drei Bitcoin-Konten, die mit der WannaCry-Kampagne in Zusammenhang stehen, mehr als 77.000 Dollar angesammelt.

Die Malware beinhaltet zwei separate Entschlüsselungs- / Verschlüsselungsroutinen. Eine davon verschlüsselt den Großteil der Dateien der Opfer mit einem eindeutigen Schlüssel pro Datei. Um diese Dateien zu entschlüsseln, wird von den Opfern ein privater RSA-Schlüssel benötigt, der ihn in einer ".dky" -Datei liefern soll.

Die zweite Verschlüsselung- / Entschlüsselungsroutine ist für 10 Dateien, die die Opfer als „freie Demo" entschlüsseln können. Sie soll den Eindruck erwecken, dies funktioniere auch für den Rest und dazu drängen, das geforderte Lösegeld zu bezahlen. Diese 10 spezifischen Dateien werden während der Verschlüsselung zufällig ausgewählt und sind auch mit einem eindeutigen Schlüssel pro Datei verschlüsselt. Allerdings wird der private RSA-Schlüssel für diese 10 Dateien lokal auf dem Computer des Opfers gespeichert.

Gefahr nicht gebannt

Wahrscheinlich wird es bei diesem ersten Angriff nicht bleiben, es wird weitere Attacken geben. Sicherheitsexperten bei Check Point kamen bis jetzt auf 34.300 Angriffsversuchen in 97 Ländern mit einem Durchschnitt von einem Versuch alle drei Sekunden. Das Land, das den meisten Angriffsversuchen ausgesetzt war, ist Indien, gefolgt von den USA und Russland. Eine interaktive Karte zeigt das Ausmaß der „WannaCry-Epedemie.

Die Anzahl der Angriffsvektoren ist zu groß, als dass die Angreifer einfach aufhören werden. Nach weiteren Erkenntnissen wurden fünf klar voneinander unterscheidbare Methoden eingesetzt. Mit dem WannaCryptor lassen sich Unternehmen per direkter Infektion angreifen. E-Mails mit bösartigen Links werden versendet. Die Nachrichten enthalten außerdem bösartige PDF-Anhänge oder aber ZIP-Dateien, die ebenfalls Schadcode-belastete PDFs enthalten.

Darüber hinaus wurden Brute-Force-Attacken gegen RDP-Server registriert, die bei Erfolg ebenfalls die Ransomware streuen. Hinter einer Brute-Force-Attacke steht ein Angriff auf einen kryptografischen Algorithmus. Das Verfahren setzt systematisch so lange alle möglichen Kombinationen aus Ziffern, Buchstaben und Leerzeichen ein, bis der Krypto-Algorithmus schließlich geknackt ist. Das Ziel liegt darin, verschlüsselte Passwörter, Dateien, Nachrichten und Informationen abzugreifen. 

Dringender Nachholbedarf

Das Threat Intelligence und Research Team von Check Point gab die Registrierung einer neuen Kill-Switch-Domain bekannt, die von einem neuen Angriffsmuster von WannaCry genutzt wurde. Durch die Registrierung der Domain wurde der „Notaus-Schalter“ aktiviert und somit Tausende potentieller Opfer vor Schäden durch die Ransomware geschützt.

Da die Gefahr aufgrund dieses kleinen Erfolgs aber keinesfalls gebannt sein dürfte, wird es nun zu einer Update-Welle kommen. Allerdings wissen wir wegen vorangegangener Erfahrungswerte, dass nicht alle Systeme gepatcht werden. Was vor allem in spanischen und englischen Krankenhäusern passiert ist, weckt Erinnerungen an das Frühjahr 2016, als der Locky-Verschlüsselungstrojaner in Deutschland sein Unwesen trieb und zu ähnlichen Ausnahme-Situationen führte. Diesmal aber verbreitet sich die Malware wie ein Wurm und verteilt sich von einem Rechner über das gesamte Netzwerk auch auf andere Rechner, indem es Verbindungen zwischen den Clients aufbaut.

Die WannaCry-Ransomware tauchte erstmals am 10. Februar in der Version 1 auf. Bei der Ransomware-Welle am 12. Mai nutzten die Angreifer die Version 2.0 der gleichen Schadsoftware. Organisationen beziehungsweise deren IT-Abteilungen sollten nun ihre IT-Systeme scannen, potentiell gefährliche Anhänge von E-Mails blocken und den Schadcode herausfiltern.

Noch besser ist der Einsatz von speziellen Sicherheitstechnologien zum Filtern von bösartigen Schadcode aus E-Mail-Anhängen, bevor die Mitarbeiter diese öffnen können. Lösungen zum Erkennen von infizierten Webseiten sorgen außerdem dafür, dass auch Links in E-Mails gesperrt werden. Auch sind bereits Lösungen verfügbar, die in letzter Instanz auf dem Endpunkt Ransomware erkennen, stoppen und bereits verschlüsselte Dateien automatisch zurückspielen.

In einem kurzen Video zeigt Check Point wie das funktioniert. Sind solche Lösungen im Einsatz, dann sind Organisationen vor den Angriffen mit WannaCry & Co. geschützt. Zusätzlich bedarf es aber auch Schulungen der Mitarbeiter, damit sie verdächtige Anhänge erkennen und bei den entsprechenden Stellen melden.

Mirco Kloss

ist Threat Prevention Evangelist bei Check Point Software Technologies GmbH