Gut eine Woche nach dem WannyCry-Angriff auf Windows-Systeme wird so langsam klar, wie sich der Erpressungstrojaner in Netzwerken so schnell verbreiten konnte.
Anzeige
Ab dem 12. Mai 2017 kam es ja weltweit zu Angriffe auf Windows-Systeme durch den Erpressungstrojaner WannaCry. Dieser war sehr erfolgreich und konnte binnen Stunden über 200.000 Systeme infizieren.
(Quelle: MalwareBytes)
Infektion im Video
Was bleibt, ist die Frage nach dem Infektions- und Verbreitungsweg. Mir liegen Informationen von Malwarebytes vor, die das Ganze analysiert haben. Das nachfolgend gezeigte Video zeigt die Infektionen in einer Heat Map.
(Quelle: YouTube)
Anzeige
Keine Phishing-Mails
Bei heise.de las ich, dass die Deutsche Bahn gegenüber der Redaktion angab, initial durch einen Phishing-Mail den Schädling eingefangen zu haben. Auch an anderer Stelle gab es solche Hinweise. Daher tippten Sicherheitsspezialisten darauf, dass eine Kombination aus Phishing-Mails und Verbreitung über eine Wurm-Komponente zur Infektion führte.
Die von vielen (auch hier im Blog von mir) angenommene Vermutung, dass sich WannaCry über Emails verteilte, stellte sich aber, laut MalwareBytes, als falsch heraus. Am besagten Freitag startet eine umfangreiche Malware-Kampagne des Necurs Botnets. Gleichzeitig erfolgte die Infektion durch WannaCry am Freitag-Nachmittag. Sicherheitsspezialisten sind wohl auf Grund dieser Umstände und des Zeitdrucks zu diversen Fehlannahmen verleitet worden.
Ergebnisse einer Analyse
Malwarebytes-Recherchen und eine Analyse der Ergebnisse durch das Malwarebytes Threat Intelligence Team zeigten, dass der „Ransomwurm" öffentliche SMB-Ports im Visier hatte und die von der NSA genutzte Sicherheitslücke EternalBlue verwendete, um ins Netzwerk zu gelangen.
Die 'ransomworm' Komponente, die für die schnelle Verbreitung sorgte, wurde laut MalwareBytes definitiv nicht per E-Mail-Spam verteilt. Vielmehr zeigten Analysen, dass die Wurm-Komponente über die SMBv1-Lücke remote verteilt wurde. Dann wurde der von der NSA entwickelte EternalBlue-Exploit eingesetzt, um in das interne Netzwerk einzudringen. Im Anschluss kam der von der NSA verwendete DoublePulsar-Exploit zur Installation der WannaCry-Ransomware im Betriebssystem zum Einsatz. Von dort lief dann die Infektion weiterer Rechner nach dem gleichen Muster ab. Die Details der Analyse sind in einem (englischsprachigen) MalwareBytes-Blog-Beitrag nachzulesen.
Ähnliche Artikel:
Ransomware WannaCry befällt tausende Computer weltweit
WannaCrypt: Updates für Windows XP, Server 2003 & Co.
WannaCry: Neue Versionen und mehr Neuigkeiten
WannaCry: Die Lage am Montag
WannaCry: Meist ungepatchte Windows 7 Systeme befallen
Anzeige