pixel_dreams - Fotolia

WannaCry: Weltweite Cyberattacke mit Ransomware infiziert tausende Systeme

Offensichtlich sind weltweit über eine Windows-Schwachstelle zehntausende Systeme mit der Erpressungsmalware Wana Decrypt0r infiziert worden.

Es begann mit Meldungen über zahlreiche betroffene Krankenhäuser in England, inzwischen sind weltweit wohl zehntausende Systeme von der Infektion mit der Ransomware betroffen. Nach Angaben des Sicherheitsanbieters Malwarebytes firmiert der Erpressungstrojaner unter unterschiedlichen Namen wie „Wana Decrypt0r“, „WannaCry“ oder auch „Wanna Cryptor“. Die Ransomware verlangt für die verschlüsselten Daten ein Lösegeld von 300 US-Dollar in Bitcoins.

Nach Angaben von Avast seien inzwischen 75.000 Systeme in 99 Ländern betroffen. NHS England hat bestätigt, dass eine ganze Reihe von Krankenhäuser betroffen ist So wurden über Probleme mit den E-Mail-Systemen als auch mit anderen klinischen Rechnern berichtet. Sicherheitsfirmen sprechen darüber hinaus von Infektionen in Russland, der Ukraine und Taiwan. Laut Avast habe man die erste Version von WanaCrypt0r im Februar entdeckt. Inzwischen sei die Ransomware in 28 Sprachen verfügbar.

Hierzulande ist offensichtlich die Deutsche Bahn betroffen. Man teilt dort mit, dass der Bahnbetrieb selbst nicht beeinträchtigt sei. Es gebe allerdings Störungen an den digitalen Anzeigentafeln in den Bahnhöfen. Die Deutsche Bahn arbeite mit Hochdruck daran, die Störungen zu beheben. Darüber hinaus würden an Bahnhöfen mit höherem Reiseaufkommen zusätzliche Mitarbeiter eingesetzt, um Reisende zu informieren.

Microsoft Update MS17-010

Die Angreifer erhalten wahrscheinlich Remote-Zugriff über eine Schwachstelle innerhalb der SMB- und NBT-Protokolle von Windows. Die Schwachstelle ist bekannt und wurde von Microsoft bereits gepatched (MS17-010). Das Update aus dem März 2017 schließt die Sicherheitslücke im Windows SMB Server. Demzufolge rät das BSI auf noch nicht aktualisierten Systemen dringend den Patch einzuspielen.

WannaCry: Microsoft stellt Update für Windows XP zum Download parat

Für alle regulär noch unterstützen Windows-Versionen steht das beschriebene Update bereit seit März 2017 zum Download parat. Systeme, die per Windows Update damit versorgt wurden, sollten gegen den Angriff gefeit sein. Wie Microsoft auf seinem Security Blog schreibt, habe man sich nun entschlossen, auch nicht mehr unterstütze Systeme mit einem Update zu versorgen. Konkret handelt es sich damit um das bereits 16 Jahre alte Windows XP, Windows 8 sowie den Windows Server 2003. Offiziell wird Windows XP nunmehr bereits seit 2014 nicht mehr mit Sicherheitsupdates versorgt. Die entsprechenden Updates finden sich hier zum Download.

Einige der Angriffe seien offensichtlich über Phishing-Mails in Verbindung mit präparierten Anhängen erfolgt. Führt der Anwender die Malware aus, verbreitet sich der Schadcode augenscheinlich weiter, indem er versucht andere Systeme mit der besagten SMB-Sicherheitslücke zu finden. Bei anderen Verbreitungswegen agiert die Malware ebenfalls wurmartig und sucht die entsprechenden verwundbaren Systeme.

„Es handelt sich hierbei um einen sich schnell verbreitenden Ransomware-Typ, der kritische Infrastrukturen lahmlegt. Es existieren starke Indizien dafür, dass er eine bekannte Schwachstelle nutzt, um in Netzwerke einzudringen und sich lateral zu verbreiten. Die besagte Schwachstelle ist Teil eines geleakten NSA Hacking-Tools einer Gruppe namens „The Shadow Brokers“ (Codename „ETERNALBLUE“)“, so Adam Kujawa, Director of Malware Intelligence bei Malwarebytes.

Update 13.05.2017, 14:15 Uhr: Nach Angaben des Bundesinnenministeriums hat das BKA die strafrechtlichen Ermittlungen in Bezug auf den Cyberangriff aufgenommen. Nach Angaben des Ministeriums sind Regierungsnetze nicht von dem Angriff betroffen.

Der Präsident des Bundesamtes für Sicherheit in der Informationstechnik, Arne Schönbohm, äußerte sich zur Situation wie folgt: "Als nationale Cyber-Sicherheitsbehörde beobachten wir rund um die Uhr intensiv die Lage und stimmen uns dazu auch mit betroffenen Unternehmen in Deutschland sowie mit unseren internationalen Partnern in Frankreich und Großbritannien ab. Seit Bekanntwerden der Angriffswelle hat unser Lagezentrum hierzu eine Reihe von Telefonkonferenzen und Gesprächen geführt. Das Krisenmanagement funktioniert. Um einen möglichst vollständigen Überblick über die Lage zu bekommen, rufen wir betroffene Institutionen auf, Vorfälle beim BSI zu melden. Die aktuellen Angriffe zeigen, wie verwundbar unsere digitalisierte Gesellschaft ist. Sie sind ein erneuter Weckruf für Unternehmen, IT-Sicherheit endlich ernst zu nehmen und nachhaltige Schutzmaßnahmen zu ergreifen. Die aktuelle Schwachstelle ist seit Monaten bekannt, entsprechende Sicherheitsupdates stehen zur Verfügung. Wir raten dringend dazu, diese einzuspielen."

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Best Practices: Ransomware verhindern oder eindämmen

Ransomware-Angriffe: Die Kosten für Unternehmen

Die Tools gegen Ransomware richtig einsetzen und konfigurieren

Ransomware mit alternativen Ansätzen begegnen

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close