WannaCry wurde angeblich von der nordkoreanischen Lazarus-Gruppe entwickelt und kombinierte von der US-Regierung gestohlenen Exploit-Code mit benutzerdefiniertem Code, um einen Ransomware- Wurm zu erstellen. Der Wurm wurde im Mai 2017 bei einem globalen Angriff eingesetzt, der innerhalb von drei Tagen schätzungsweise 200.000 Computer infizierte. Durch Ausnutzung einer Schwachstelle in Windows-Systemen könnte die Malware selbstständig neue Opfer infizieren und sich so exponentiell über das Internet verbreiten.
Aufgrund der weiten Verbreitung der Malware und des durch sie verursachten Schadens verursachte der dreitägige Angriff geschätzte globale Kosten in Milliardenhöhe.
Allerdings verteilte sich der durch Wannacry verursachte Schaden nicht gleichmäßig auf verschiedene Unternehmen und Branchen. Besonders betroffen waren Organisationen wie der britische National Health Service (NHS), der eine große Anzahl anfälliger Maschinen betrieb. Allein die Kosten von Wannacry für den NHS werden auf 100 Millionen US-Dollar geschätzt.
Der Ausbruch im Jahr 2017 wurde erst durch die Entdeckung eines „Kill-Schalters“ im WannaCry-Code gestoppt, der bei Auslösung die weitere Ausbreitung der Malware oder die Verschlüsselung der auf weiteren Maschinen gespeicherten Daten verhinderte. Seit dem Ausbruch 2017 kam es zu weiteren Angriffen durch modifizierte Versionen von WannaCry. Allerdings hat keiner von ihnen den gleichen Umfang, die gleichen Kosten oder die gleiche Bekanntheit erreicht wie der ursprüngliche Ausbruch.
Als eine Art Ransomware folgt sie einer weitgehend standardisierten Abfolge von Schritten, die von der Erstinfektion über die Datenverschlüsselung bis zur endgültigen Lösegeldforderung reichen.
Im Gegensatz zu vielen anderen Ransomware-Varianten verbreitet sich WannaCry von selbst, anstatt über bösartige E-Mails verbreitet oder über Malware-Dropper installiert zu werden.
Die Wurmfunktion von WannaCry beruht auf der Verwendung des EternalBlue-Exploits, der eine Schwachstelle im Server Message Block (SMB)-Protokoll von Windows ausnutzt. Die Schwachstelle wurde zuerst von der National Security Agency (NSA) entdeckt und von den Shadow Brokers öffentlich durchgesickert.
Nachdem EternalBlue durchgesickert war, veröffentlichte Microsoft im April 2017 eine aktualisierte Version von SMB, die das Problem behebt. Obwohl dies einen Monat vor dem größten WannaCry-Ausbruch geschah, hatten viele Organisationen den Patch noch nicht installiert, was sie anfällig für WannaCry machte.
Mit WannaCry infizierte Computer durchsuchen das Internet nach anderen Computern, auf denen eine anfällige Version von SMB ausgeführt wird. Wenn einer gefunden wird, sendet der infizierte Computer mithilfe von EternalBlue eine Kopie von WannaCry und führt sie auf dem Zielcomputer aus. An diesem Punkt könnte die Malware mit der Verschlüsselung der Dateien des Computers beginnen. Zunächst wird jedoch geprüft, ob eine bestimmte Website existiert. Wenn die Website existiert, unternimmt die Malware nichts. Es wird vermutet, dass das Vorhandensein dieses „Kill Switch“ entweder eine Möglichkeit ist, die Verbreitung von WannaCry zu stoppen (das sich nach dem Start selbstständig verbreitet) oder eine Möglichkeit, forensische Analysen zu erschweren (da die meisten Cybersicherheitslaborumgebungen so tun, als ob jede Website dies tut). die Malware-Anfragen vorhanden sind). Wenn die angeforderte Domain nicht gefunden wird, fährt WannaCry mit der Verschlüsselungsphase fort.
Als Ransomware-Variante soll WannaCry einem Benutzer den Zugriff auf seine Dateien auf einem Computer verweigern, sofern kein Lösegeld gezahlt wird. Dies wird durch den Einsatz von Verschlüsselung erreicht, bei der die Malware die Daten auf eine Weise umwandelt, die nur mit Kenntnis des geheimen Schlüssels rückgängig gemacht werden kann. Da der geheime Schlüssel von WannaCry nur dem Ransomware-Betreiber bekannt ist, ist das Opfer gezwungen, das Lösegeld zu zahlen, um seine Daten abzurufen.
WannaCry wurde entwickelt, um auf einem Computer nach einer festgelegten Liste von Dateierweiterungstypen zu suchen und diese zu verschlüsseln. Dies geschieht, um die Auswirkungen der Malware auf die Stabilität eines Systems zu minimieren. Ein Computer kann möglicherweise nicht ausgeführt werden, wenn die falschen Dateien verschlüsselt sind, was es dem Opfer unmöglich macht, ein Lösegeld zu zahlen oder seine Dateien abzurufen.
Die WannaCry-Malware forderte von ihren Opfern ein Lösegeld in Höhe von 300 US-Dollar. Die Lösegeldforderung bestand jedoch in der Zahlung in Bitcoin und nicht in Fiat-Geld. Als Kryptowährung ist Bitcoin weniger rückverfolgbar als herkömmliche Währungen, was für Ransomware-Betreiber hilfreich ist, da es ihnen ermöglicht, eine Zahlungsadresse (ähnlich einer Bankkontonummer) in eine Lösegeldnachricht einzubetten, ohne dass die Behörden sofort über ihre Identität informiert werden .
Wenn ein Opfer eines WannaCry-Angriffs das Lösegeld zahlt, sollte ihm ein Entschlüsselungsschlüssel für seinen Computer zur Verfügung gestellt werden. Dies ermöglicht es einem von den Cyberkriminellen bereitgestellten Entschlüsselungsprogramm, die an den Dateien des Benutzers durchgeführte Transformation rückgängig zu machen und den Zugriff auf die Originaldaten wiederherzustellen.
Die WannaCry-Ransomware ist in hohem Maße von der Funktion des EternalBlue-Exploits abhängig. Die Autoren der ursprünglichen Malware nutzten diese Schwachstelle, um WannaCry in einen Wurm zu verwandeln, der sich selbst verbreiten kann. In diesem Fall besteht der einfachste Weg, sich vor WannaCry zu schützen, darin, SMB zu deaktivieren oder den von Microsoft bereitgestellten Patch zu installieren, der die Schwachstelle behebt.
Dies ist jedoch eine Lösung für ein ganz spezifisches Problem. Es schützt ein Unternehmen nicht vor anderen Ransomware-Varianten oder der Verbreitung von WannaCry auf andere Weise. Um zu erfahren, wie Sie Ihr Unternehmen vor einer Vielzahl von Ransomware-Bedrohungen schützen können, sehen Sie sich die Anti-Ransomware-Lösung von Check Point an.