![\"WannaCry](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2022\/09\/02155642\/wannacry-hsitory-lessons-ransom-note.jpg\")
WannaCry L\u00f6segeldforderung auf dem Bildschirm eines infizierten Computers. Quelle<\/a><\/p><\/div>\n Gleich danach mussten die Opfer entsetzt feststellen, dass ihre Dokumente verschl\u00fcsselt worden waren und alle normalen Dateierweiterungen wie .doc oder .mp3 nun die Erweiterung .wnry trugen. F\u00fcr den Fall, dass Nutzer das Pop-up-Fenster einfach wegklickten, tauschte die Malware das Desktop-Hintergrundbild ebenfalls gegen ein eigenes aus, das die folgende Nachricht enthielt:<\/p>\n Warnung auf dem Hintergrundbild des Bildschirms. Quelle<\/a><\/p><\/div>\n Zur Entschl\u00fcsselung der Dateien verlangte das Programm die \u00dcberweisung von 300 US-Dollar in Bitcoin an das Wallet der Angreifer. Sp\u00e4ter wurde der Betrag auf 600 US-Dollar erh\u00f6ht. Innerhalb eines Tages hatte der sich schnell verbreitende Internetwurm weltweit mehr als 200.000 Systeme infiziert, darunter sowohl Heimcomputer als auch Unternehmensnetzwerke: Krankenh\u00e4user, Transportunternehmen, Banken und Mobilfunkanbieter waren betroffen. Der taiwanesische Chiphersteller TSMC musste aufgrund einer Masseninfektion von Firmenger\u00e4ten sogar seine Produktion einstellen.<\/p>\n Die blitzschnelle Verbreitung von WannaCry wurde durch Schwachstellen im Server Message Block<\/em> (SMB)-Protokoll von Windows erm\u00f6glicht. Dieses Protokoll dient dem Austausch von Dateien \u00fcber ein lokales Netzwerk. Die Schwachstellen erm\u00f6glichten die Ausf\u00fchrung von beliebigem Code auf einem nicht gepatchten Computer durch eine Anfrage \u00fcber das SMBv1-Protokoll. Dabei handelt es sich um eine veraltete Version von SMB, die seit den fr\u00fchen 1990er Jahren verwendet wird. Seit 2006 wird in Windows standardm\u00e4\u00dfig SMBv2 oder eine neuere Version des Protokolls verwendet, die Unterst\u00fctzung f\u00fcr das alte Protokoll wurde jedoch aus Gr\u00fcnden der Kompatibilit\u00e4t mit Computern, auf denen \u00e4ltere Software l\u00e4uft, beibehalten.<\/p>\n Als das Problem entdeckt und Updates im M\u00e4rz 2017 (fast zwei Monate vor dem WannaCry-Ausbruch) ver\u00f6ffentlicht<\/a> wurden, betraf die SMBv1-Schwachstelle alle ungepatchten Versionen des Betriebssystems, von Vista bis zum damals brandneuen Windows 10. Auch das veraltete Windows XP und Windows 8 waren gef\u00e4hrdet. Microsoft ver\u00f6ffentlichte einen Patch f\u00fcr Windows XP, obwohl die Unterst\u00fctzung f\u00fcr dieses Betriebssystem bereits 2014 offiziell eingestellt worden war. Der Exploit, der auf Schwachstellen in SMBv1 abzielte, ist allgemein unter dem Codenamen EternalBlue bekannt, was eine gesonderte Erw\u00e4hnung wert ist.<\/p>\n Aber zun\u00e4chst sollten Sie einen weiteren Codenamen kennen: DoublePulsar<\/a>. Dies ist der Name des Schadcodes, der zum Erstellen einer Backdoor auf dem kompromittierten System verwendet wurde. Sowohl der EternalBlue-Exploit als auch die DoublePulsar-Backdoor wurden im M\u00e4rz bzw. April 2017 von der anonymen Gruppe ShadowBrokers ver\u00f6ffentlicht<\/a> und angeblich zusammen mit anderen sch\u00e4dlichen Tools von einem Department der US-amerikanischen National Security Agency gestohlen. Der WannaCry-Wurm setzte beide Komponenten ein. Zun\u00e4chst erhielt er \u00fcber den EternalBlue-Exploit die F\u00e4higkeit Schadcode auszuf\u00fchren, und verwendete dann ein angepasstes DoublePulsar-Tool, um die Nutzlast zu starten, Dateien zu verschl\u00fcsseln und eine L\u00f6segeldforderung anzuzeigen.<\/p>\n Neben der Verschl\u00fcsselung von Dateien verbreitete sich das Schadprogramm WannaCry selbst, indem es mit dem C2-Server der Angreifer \u00fcber das anonyme Tor-Netzwerk kommunizierte und b\u00f6swillige Anfragen an zuf\u00e4llige IP-Adressen sendete. Dies war der Grund f\u00fcr die unglaubliche Ausbreitungsgeschwindigkeit des Wurms \u2013 Zehntausende von infizierten Systemen pro Stunde!<\/p>\n Am selben Tag, dem 12. Mai, warf der damals noch unbekannte Cybersicherheits-Blogger MalwareTech einen detaillierten Blick auf den WannaCry-Code. Er entdeckte, dass in den Code eine Adresse in Form einer .com eingef\u00fcgt war. Der Domainname war nicht registriert, also registrierte MalwareTech ihn auf seinen eigenen Namen und ging zun\u00e4chst davon aus, dass die infizierten Computer diese Adresse f\u00fcr die weitere Kommunikation mit C2-Servern verwenden w\u00fcrden. Stattdessen stoppte er versehentlich die WannaCry-Epidemie.<\/p>\n Obwohl in der Nacht zum 12. Mai bekannt<\/a> wurde, dass WannaCry auch weiterhin viele Computer infizierte, wurden nach der Domainregistrierung keine Daten mehr auf den betroffenen Computern verschl\u00fcsselt. Da die Domain nun verf\u00fcgbar war, stellten alle Malware-Instanzen aus irgendeinem Grund ihre Bem\u00fchungen pl\u00f6tzlich ein. Aber warum haben es die Ersteller von WannaCry Au\u00dfenstehenden so einfach gemacht, ihre Ransomware ohne viel Aufwand lahmzulegen? Laut MalwareTech war es ein fehlgeschlagener Versuch, die automatische Sandbox-Analyse auszutricksen.<\/p>\n Sandboxing funktioniert folgenderma\u00dfen: Ein Schadprogramm wird in einer isolierten virtuellen Umgebung ausgef\u00fchrt, was eine Echtzeitanalyse seines Verhaltens erm\u00f6glicht. Dies ist ein g\u00e4ngiges Verfahren, das entweder manuell von Virenanalysten oder automatisch durchgef\u00fchrt wird. Die virtuelle Umgebung ist so konzipiert, dass die Malware vollst\u00e4ndig ausgef\u00fchrt werden kann und den Forschern all ihre Geheimnisse offenlegt. Wenn die Malware eine Datei anfordert, gibt die Sandbox vor, dass die Datei existiert. Wenn sie auf eine Onlineseite zugreift, kann die virtuelle Umgebung eine Antwort emulieren. Vielleicht haben die Autoren von WannaCry geglaubt, sie k\u00f6nnten die Sandbox-Analyse \u00fcberlisten: Wenn der Wurm auf eine Domain zugreift, von der bekannt ist, dass sie nicht existiert, und eine Antwort erh\u00e4lt, dann ist das Opfer nicht real und die b\u00f6sartige Aktivit\u00e4t muss verborgen werden.<\/p>\n Womit sie wahrscheinlich nicht gerechnet hatten, war, dass der Code des Wurms in nur drei Stunden zerlegt und sein \u201egeheimer\u201c Domainname gefunden und registriert werden w\u00fcrde.<\/p>\n MalwareTech hatte Gr\u00fcnde, seine wahre Identit\u00e4t zu verbergen. Sein richtiger Name ist Marcus Hutchins. Als WannaCry anfing sein Unwesen zu treiben, war er gerade 23 Jahre alt. Jahre zuvor geriet er, wie man so sch\u00f6n sagt, in die falschen Kreise und trieb sich in kleinkriminellen Foren herum. Zu seinen S\u00fcnden z\u00e4hlte er damals das Schreiben zweier Programme: eines zum Entwenden von Browser-Passw\u00f6rtern, ein weiteres zur Nutzerinfektion \u00fcber Torrents, mit dem er ein Botnet von mehr als 8.000 Nutzern aufbaute.<\/p>\n Anfang der 2000er Jahre wurde er von einem gr\u00f6\u00dferen Akteur entdeckt und darum gebeten, einen Teil der Kronos-Malware zu schreiben. Wenn andere Cyberkriminelle die Malware auf dem Grey Market kauften, um ihre eigenen Angriffe auszuf\u00fchren, erhielt Marcus f\u00fcr sein Werk eine Provision. Hutchins enth\u00fcllte, dass er bei mindestens zwei Gelegenheiten seinen echten Namen und seine Wohnadresse im Vereinigten K\u00f6nigreich an Komplizen weitergab. Diese Informationen fielen sp\u00e4ter in die H\u00e4nde der US-Strafverfolgungsbeh\u00f6rden.<\/p>\n Der Mann, der \u201edas Internet rettete\u201c, war nun nicht mehr l\u00e4nger anonym. Zwei Tage sp\u00e4ter klopften Reporter an seine Haust\u00fcr: Die Tochter einer der Journalisten ging damals auf dieselbe Schule wie Markus und wusste um seinen Decknamen MalwareTech Bescheid. Zun\u00e4chst lehnte er jeden Kontakt mit der Presse ab, gab aber schlie\u00dflich der Associated Press ein Interview. Im August 2017 wurde er, nun als Ehrengast, nach Las Vegas zur ber\u00fchmten Hackerkonferenz DEF CON eingeladen.<\/p>\n Dort wurde er verhaftet. Nachdem er mehrere Monate arrestiert verbracht und die Vorw\u00fcrfe in Bezug auf Kronos teilweise zugegeben hatte, kam Hutchins mit einer Bew\u00e4hrungsstrafe glimpflich davon. In einem Interview mit dem Wired-Magazin<\/a> beschrieb er seine kriminelle Vergangenheit als bedauerlichen Fehler: Er habe es weniger wegen des Geldes getan als vielmehr aus dem Wunsch heraus, seine F\u00e4higkeiten zu zeigen und in der Underground-Community Anerkennung zu finden. Zum Zeitpunkt von WannaCry hatte er den Kontakt zu Cyberkriminellen bereits seit mehr als 2 Jahren aufgegeben.<\/p>\n![\"Warnung](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2022\/09\/02155728\/wannacry-hsitory-lessons-wallpaper.jpg\")
Wie kam es dazu?<\/h2>\n
Kill Switch<\/h2>\n
MalwareTech: \u201eDer Hacker, der das Internet rettete\u201c<\/h2>\n
War das die letzte Epidemie?<\/h2>\n