![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Gut eine Woche nach dem WannyCry-Angriff auf Windows-Systeme wird so langsam klar, wie sich der Erpressungstrojaner in Netzwerken so schnell verbreiten konnte.<\/p>\nGut eine Woche nach dem WannyCry-Angriff auf Windows-Systeme wird so langsam klar, wie sich der Erpressungstrojaner in Netzwerken so schnell verbreiten konnte.<\/p>\n
<\/p>\n
Ab dem 12. Mai 2017 kam es ja weltweit zu Angriffe auf Windows-Systeme durch den Erpressungstrojaner WannaCry. Dieser war sehr erfolgreich und konnte binnen Stunden \u00fcber 200.000 Systeme infizieren.<\/p>\n
![](\"https:\/\/web.archive.org\/web\/20220130150333\/https:\/\/blog.malwarebytes.com\/wp-content\/uploads\/2017\/05\/Ransom.WannaCrypt2.1.png\")
\n(Quelle: MalwareBytes)<\/p>\n
Was bleibt, ist die Frage nach dem Infektions- und Verbreitungsweg. Mir liegen Informationen von Malwarebytes vor, die das Ganze analysiert haben. Das nachfolgend gezeigte Video zeigt die Infektionen in einer Heat Map.<\/p>\n
(Quelle: YouTube<\/a>)<\/p>\n Bei heise.de las ich, dass die Deutsche Bahn gegen\u00fcber der Redaktion angab, initial durch einen Phishing-Mail den Sch\u00e4dling eingefangen zu haben. Auch an anderer Stelle gab es solche Hinweise. Daher tippten Sicherheitsspezialisten darauf, dass eine Kombination aus Phishing-Mails und Verbreitung \u00fcber eine Wurm-Komponente zur Infektion f\u00fchrte.<\/p>\n Die von vielen (auch hier im Blog von mir) angenommene Vermutung, dass sich WannaCry \u00fcber Emails verteilte, stellte sich aber, laut MalwareBytes, als falsch heraus. Am besagten Freitag startet eine umfangreiche Malware-Kampagne des Necurs Botnets. Gleichzeitig erfolgte die Infektion durch WannaCry am Freitag-Nachmittag. Sicherheitsspezialisten sind wohl auf Grund dieser Umst\u00e4nde und des Zeitdrucks zu diversen Fehlannahmen verleitet worden.<\/p>\n Malwarebytes-Recherchen und eine Analyse der Ergebnisse durch das Malwarebytes Threat Intelligence Team zeigten, dass der \u201eRansomwurm\" \u00f6ffentliche SMB-Ports im Visier hatte und die von der NSA genutzte Sicherheitsl\u00fccke EternalBlue verwendete, um ins Netzwerk zu gelangen.<\/p>\n Die 'ransomworm' Komponente, die f\u00fcr die schnelle Verbreitung sorgte, wurde laut MalwareBytes definitiv nicht per E-Mail-Spam verteilt. Vielmehr zeigten Analysen, dass die Wurm-Komponente \u00fcber die SMBv1-L\u00fccke remote verteilt wurde. Dann wurde der von der NSA entwickelte EternalBlue-Exploit eingesetzt, um in das interne Netzwerk einzudringen. Im Anschluss kam der von der NSA verwendete DoublePulsar-Exploit zur Installation der WannaCry-Ransomware im Betriebssystem zum Einsatz. Von dort lief dann die Infektion weiterer Rechner nach dem gleichen Muster ab. Die Details der Analyse sind in einem (englischsprachigen) MalwareBytes-Blog-Beitrag<\/a> nachzulesen.<\/p>\n \u00c4hnliche Artikel:<\/strong> Gut eine Woche nach dem WannyCry-Angriff auf Windows-Systeme wird so langsam klar, wie sich der Erpressungstrojaner in Netzwerken so schnell verbreiten konnte.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[6202,6170,6178],"class_list":["post-190543","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-verbreitung","tag-wannacrypt","tag-wannycry"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/190543","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=190543"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/190543\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=190543"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=190543"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=190543"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Keine Phishing-Mails<\/h2>\n
Ergebnisse einer Analyse<\/h2>\n
\nRansomware WannaCry bef\u00e4llt tausende Computer weltweit<\/a>
\nWannaCrypt: Updates f\u00fcr Windows XP, Server 2003 & Co.<\/a>
\nWannaCry: Neue Versionen und mehr Neuigkeiten<\/a>
\nWannaCry: Die Lage am Montag<\/a>
\nWannaCry: Meist ungepatchte Windows 7 Systeme befallen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"