WannaCry, auch bekannt als WannaCrypt, ist eine Form von Ransomware, die im Mai 2017 aufgrund ihrer weit verbreiteten und zerstörerischen Auswirkungen weltweit für Schlagzeilen sorgte. Ransomware ist eine Art von Schadsoftware, die die Dateien eines Opfers verschlüsselt und sie unzugänglich macht, bis ein Lösegeld an den Angreifer gezahlt wird.

Der WannaCry-Ransomware-Angriff war in seinem Ausmaß beispiellos und betraf Hunderttausende von Computern in mehr als 150 Ländern. Er nutzte eine Schwachstelle im Windows-Betriebssystem von Microsoft aus, insbesondere im Server Message Block (SMB)-Protokoll. In diesem Artikel werden die Details von WannaCry, seine Ursprünge, seine Funktionsweise, seine Auswirkungen und die Möglichkeiten, sich vor solchen Angriffen zu schützen, näher beleuchtet.

Ursprünge von WannaCry

Die WannaCry-Ransomware wurde vermutlich von der Lazarus-Gruppe entwickelt, einer mit Nordkorea in Verbindung stehenden Cybercrime-Gruppe. Die Gruppe wird mit mehreren hochkarätigen Cyberangriffen in Verbindung gebracht, darunter der Sony-Pictures-Hack von 2014 und der Bangladesch-Bankraub von 2016.

Die Ransomware nutzte einen Exploit namens EternalBlue, der angeblich von der National Security Agency (NSA) der Vereinigten Staaten entwickelt wurde. Der Exploit wurde im April 2017, einen Monat vor dem WannaCry-Angriff, von einer Gruppe namens The Shadow Brokers geleakt.

The Shadow Brokers

The Shadow Brokers ist eine Hackergruppe, die erstmals im Sommer 2016 in Erscheinung trat. Sie ist dafür bekannt, Exploits, Hacking-Tools und andere angeblich von der NSA gestohlene Verschlusssachen zu veröffentlichen. Die Identität und die Motive der Gruppe sind nach wie vor unbekannt, aber ihre Aktionen hatten weltweit erhebliche Auswirkungen.

Der von The Shadow Brokers geleakte EternalBlue-Exploit war eine Schlüsselkomponente der WannaCry-Ransomware. Dadurch konnte sich die Ransomware schnell über Netzwerke verbreiten und mehrere Computer ohne Benutzerinteraktion infizieren.

So funktioniert WannaCry

WannaCry ist eine wurmartige Ransomware, d. h. sie kann sich selbst über Netzwerke verbreiten. Sobald sie einen Computer infiziert, verschlüsselt sie die Dateien des Benutzers und zeigt eine Lösegeldforderung an, in der die Zahlung in Bitcoin für den Entschlüsselungsschlüssel verlangt wird.

Die Ransomware verwendet die Verschlüsselungsalgorithmen RSA und AES, um Dateien zu sperren. RSA, ein Public-Key-Kryptosystem, wird verwendet, um den Schlüssel für die AES-Verschlüsselung zu verschlüsseln. Der AES-Schlüssel wird dann verwendet, um die Dateien des Benutzers zu verschlüsseln. Ohne den privaten RSA-Schlüssel, der sich im Besitz des Angreifers befindet, kann der AES-Schlüssel nicht entschlüsselt werden, sodass die Dateien gesperrt bleiben.

EternalBlue-Exploit

Der EternalBlue-Exploit zielt auf das SMB-Protokoll im Windows-Betriebssystem von Microsoft ab. SMB wird für den gemeinsamen Zugriff auf Dateien, Drucker und andere Ressourcen in einem Netzwerk verwendet. Der Exploit ermöglicht es dem Angreifer, beliebigen Code auf dem Zielsystem auszuführen und bietet der Ransomware ein Einfallstor, um das System zu infiltrieren.

Sobald WannaCry im System ist, verwendet es ein anderes Tool, DoublePulsar, um eine Kopie von sich selbst zu installieren und auszuführen. DoublePulsar ist ein Backdoor-Implantations-Tool, das ebenfalls von The Shadow Brokers geleakt wurde. Es ermöglicht dem Angreifer, einen dauerhaften Zugriff auf das System aufrechtzuerhalten und bösartige Nutzlasten auszuführen.

Auswirkungen von WannaCry

Der WannaCry-Ransomware-Angriff hatte weltweit erhebliche Auswirkungen und betraf Organisationen in verschiedenen Sektoren, darunter im Gesundheitswesen, im Finanzwesen und in der Logistik. Der Angriff führte zu weitreichenden Störungen, wobei Krankenhäuser des britischen National Health Service (NHS) am stärksten betroffen waren.

Schätzungen zufolge waren über 200.000 Computer in 150 Ländern von dem Angriff betroffen. Der durch den Angriff verursachte finanzielle Schaden ist schwer zu beziffern, aber einigen Schätzungen zufolge könnte er in die Milliarden Dollar gehen. Der Angriff machte auch die Schwachstellen in unserer zunehmend vernetzten Welt und das Potenzial von Cyberangriffen, in der realen Welt Schaden anzurichten, deutlich.

Fallstudie: NHS

Der NHS wurde durch den WannaCry-Angriff schwer getroffen, da etwa ein Drittel der Gesundheitseinrichtungen in England von Störungen betroffen war. Krankenhäuser mussten Termine und Operationen absagen und einige mussten sogar Notfallpatienten umleiten. Der Angriff deckte erhebliche Schwachstellen in der IT-Infrastruktur des NHS auf, darunter veraltete Systeme und eine mangelnde Vorbereitung auf Cybersicherheit.

Die finanziellen Kosten für den NHS wurden auf etwa 92 Millionen Pfund geschätzt. Darin enthalten sind die unmittelbaren Kosten für die Reaktion auf den Angriff und die längerfristigen Kosten für IT-Upgrades, Datenwiederherstellung und verbesserte Cybersicherheitsmaßnahmen.

WannaCry und ähnliche Angriffe verhindern

Die Verhinderung von Ransomware-Angriffen wie WannaCry erfordert einen vielschichtigen Ansatz. Dazu gehört, Software und Systeme auf dem neuesten Stand zu halten, zuverlässige Sicherheitssoftware zu verwenden, regelmäßig Daten zu sichern und das Bewusstsein der Benutzer für Cybersicherheit zu fördern.

Microsoft veröffentlichte im März 2017, einen Monat vor dem WannaCry-Angriff, einen Patch für die EternalBlue-Schwachstelle. Viele Organisationen hatten den Patch jedoch nicht installiert, sodass ihre Systeme anfällig blieben. Dies unterstreicht die Bedeutung eines zeitnahen Patch-Managements für die Cybersicherheit.

Sensibilisierung für Cybersicherheit

Menschliches Versagen ist oft ein entscheidender Faktor für erfolgreiche Cyberangriffe. Phishing-E-Mails beispielsweise sind darauf angewiesen, dass Benutzer auf bösartige Links oder Anhänge klicken. Daher ist die Förderung des Bewusstseins für Cybersicherheit bei den Benutzern ein entscheidender Bestandteil der Prävention von Angriffen.

Schulungen sollten das Erkennen und Vermeiden von Phishing-E-Mails, die Verwendung starker und einzigartiger Passwörter und das Verständnis für die Bedeutung von Software-Updates und Backups beinhalten. Benutzer sollten auch die Anzeichen eines Ransomware-Angriffs kennen, wie z. B. plötzlich nicht mehr zugängliche Dateien oder ungewöhnliches Systemverhalten.

Schlussfolgerung

Der WannaCry-Ransomware-Angriff war für viele Organisationen ein Weckruf in Bezug auf das potenzielle Ausmaß und die Auswirkungen von Cyberangriffen. Er verdeutlichte die Bedeutung robuster Cybersicherheitsmaßnahmen, einschließlich Patch-Management, Datensicherungen und Benutzersensibilisierung.

Der Angriff verursachte zwar erhebliche Störungen und finanzielle Schäden, führte aber auch zu einer stärkeren Fokussierung auf Cybersicherheit und die Notwendigkeit verbesserter Abwehrmaßnahmen. Da wir immer stärker auf digitale Systeme angewiesen sind, werden die aus WannaCry gezogenen Lehren auch in Zukunft für den Schutz vor Cyberbedrohungen relevant sein.

Angesichts der zunehmenden Cybersicherheits-Bedrohungen müssen Unternehmen alle Bereiche ihres Geschäfts schützen. Dazu gehört auch der Schutz ihrer Websites und Webanwendungen vor Bots, Spam und Missbrauch. Insbesondere Web-Interaktionen wie Logins, Registrierungen und Online-Formulare sind zunehmend Angriffen ausgesetzt.

Um Web-Interaktionen auf benutzerfreundliche, vollständig barrierefreie und datenschutzkonforme Weise zu sichern, bietet Friendly Captcha eine sichere und unsichtbare Alternative zu herkömmlichen CAPTCHAs. Es wird von Großkonzernen, Regierungen und Startups weltweit erfolgreich eingesetzt.

Sie möchten Ihre Website schützen? Erfahren Sie mehr über Friendly Captcha "