Vom aggressiven Infekt zum fragwürdigen Impfstoff
Sophos: WannaCry ist in immer mehr Varianten aktiv
Die Beute bleibt die gleiche. Aber das Jagdverhalten ändert sich. Der neue Report von Sophos "WannaCry Aftershock" soll einen Überblick über die WannaCry-Schadsoftware geben, die es mit einer weltweiten Angriffswelle am 12. Mai 2017 zu einiger Bekanntheit geschafft hat. Die Analysen der Sophos-Forscher zeigen, dass WannaCry weiterhin aktiv ist, und zwar mit Millionen versuchten Neuinfizierungen pro Monat.
Die mit sehr großem Abstand meisten Infektionen (22 Prozent weltweit) konnten die Sophos-Experten dabei in den USA nachweisen, gefolgt von Indien und Pakistan mit jeweils rund acht Prozent. Deutschland rangiert mit nur 0,5 Prozent relativ weit hinten in der Rangliste, noch weniger betroffen sind in Europa Großbritannien und die Niederlande. Deren Nachbar, Belgien, ist mit 2,1 Prozent europaweit am zweitstärksten betroffen. Spitzenreiter bei den Infektionen in Europa ist Italien mit knapp sechs Prozent.
Während der Originalstamm der Schadware bis heute unverändert geblieben ist, fanden sich zuletzt zahlreiche kurzlebige Mutationen. Die ursprüngliche WannaCry-Malware wurde nur 40 Mal erkannt. Bis Ende 2018 haben die Sophos-Labs-Forscher 12.480 Varianten des ursprünglichen Codes identifiziert. Allein im August 2019 betrug die Anzahl der beobachteten verschiedenen Varianten 6.963. Davon waren 5.555 oder 80 Prozent neue Dateien.
Das Fortbestehen der WannaCry-Bedrohung ist im Wesentlichen auf die Fähigkeit der neuen Varianten zurückzuführen, den "Kill Switch" zu umgehen. Dabei handelt es sich um eine spezifische URL, die, wenn die Malware eine Verbindung herstellt, den Infektionsprozess automatisch beendet. Bei tieferer Betrachtung von mehr als 2.700 Proben stellte sich jedoch gleichzeitig heraus, dass alle Proben zwar den Kill Switch umgangen haben, sie nun aber eine beschädigte Ransomware-Komponente hatten und keine Daten verschlüsseln konnten.
Die Weise, wie WannaCry seine Opfer infiziert - kurzer Check, ob der Computer bereits befallen ist und wenn ja, den nächsten PC testen - führt zu einer Art Schutzimpfung: die schon bestehende Infektion durch eine inaktive Version der Schadsoftware schützt vor der Neu-Infektion mit einem aktiven Stamm. Neue Varianten der Malware wirken auf diese Weise also wie ein versehentlicher Impfstoff und bieten nach wie vor ungepatchten und anfälligen Computern eine Art Immunität gegen spätere Angriffe derselben Malware.
Die Tatsache, dass diese PCs überhaupt infiziert werden konnten, lässt den jedoch den Rückschluss zu, dass der Patch für den Exploit (durch den WannaCry ins System gelangt) noch nicht installiert wurde. Dabei geht es um einen Patch, der vor mehr als zwei Jahren herausgegeben wurde.
Michael Veit, Security-Experte bei Sophos, ordnet die Ergebnisse des aktuellen WannaCry-Reports so ein: "Der WannaCry-Ausbruch 2017 veränderte die Bedrohungslandschaft weltweit. Der Report zeigt auf, wie viele ungepatchte Computer es noch immer gibt. Und wenn bereits das Sicherheits-Update, das vor mehr als zwei Jahren schon notwendig war, noch nicht umgesetzt ist, ist anzunehmen, das nachfolgende Patches auch nicht installiert wurden. Auch wenn die Varianten von WannaCry eine Art Immunisierung mitliefern, sollte sich niemand auf diesen zufälligen Schutz verlassen. Das Installieren von Sicherheits-Patches sollte Standardpraxis werden, in Kombination mit einer konsistenten Sicherheitsstrategie, die Endpoint, Netzwerk und Systeme abdeckt."
Die Sicherheitsexperten geben weitere Tipps zum Schutz vor WannaCry und Ransomware-Angriffen, hier ein Überblick:
- Komplette Inventur aller Geräte, die mit dem eigenen Netzwerk verbunden sind. Sie sollten alle über die neueste Sicherheitssoftware verfügen,
- die aktuellsten Patches gehören so schnell wie möglich auf das Gerät,
- der Patch gegen das EternalBlue-Exploit, das WannaCry nutzt, sollte aufgespielt sein. Bei Unsicherheit, dieser Anleitung folgen: How to Verify if a Machine is Vulnerable to EternalBlue – MS17-010,
- reguläre Backups und diese offline lagern!
Weitere Informationen stehen unter www.sophos.de zur Verfügung.
Lesen Sie mehr zum Thema
