Eine Ransomware-Attacke hat Organisationen weltweit lahmgelegt. Der Schädling, der unter dem Namen Wannacry oder Wannacrypt gehandelt wird, hat weltweit über 100'000 Windows-Rechner befallen. Dabei nutzt der Schädling eine Lücke im SMB-Protokoll von Windows aus, für die
Microsoft bereits vor rund zwei Monaten einen Patch bereitgestellt hatte. Experten gehen davon aus, dass es sich bei den meisten betroffenen Systemen um Rechner mit Windows XP handelt. Dessen Support wurde im Jahr 2014 eingestellt, nichtsdestotrotz läuft das Betriebssystem nach wie vor auf rund 7 Prozent aller Rechner weltweit. Um die Ausbreitung von Wannacry/Wannacrypt zu unterbinden, hat Microsoft in der Zwischenzeit aber auch für alte Betriebssysteme wie Windows XP und Windows Server 2003
ein Sicherheitsupdate veröffentlicht. Zudem wurden
Informationen zur Attacke im Security-Blog von Microsoft publiziert. Dort liest man unter anderem, dass 300 Dollar verlangt werden, um einen betroffenen Rechner wieder freizugeben.
Wie die Sicherheitsexperten von Malwarebytes berichten, sollen die Angreifer mit Wannacry beziehungsweise Wannacrypt eine Schwachstelle nutzen, welche einst vom US-Geheimdienst NSA entdeckt, verwendet und verschwiegen wurde. NSA-Hacking-Tools gelangten im April im Darknet in den Verkauf und scheinen offenbar nun Abnehmer gefunden zu haben. Malwarebytes schreibt zu Wannacry: "Es handelt sich hierbei um einen sich schnell verbreitenden Ransomware-Typ, der kritische Infrastrukturen lahmlegt. Es existieren starke Indizien dafür, dass er eine bekannte Schwachstelle nutzt, um in Netzwerke einzudringen und sich lateral zu verbreiten. Die besagte Schwachstelle ist Teil eines geleakten NSA Hacking Tools einer Gruppe namens "The Shadow Brokers" (Codename "Eternalblue"). Das NSA-Tool verschafft den Angreifern über einen Exploit der SMB- & NBT-Protokolle des Windows-Betriebssystems Remote-Zugriff."
Die Experten schreiben weiter, dass unter anderem Krankenhäuser und die NHS in Großbritannien sowie BBVA, Santander, der Elektrizitätsversorger Iberdrola und Vodafone wie auch Telefonica in Spanien vom Angriff betroffen sind. Weiter gibt es Meldungen, dass die Deutsche Bahn oder auch Fedex betroffen sind, genauso wie Organisationen in Russland, der Ukraine, in Taiwan und in anderen Ländern. Die Security-Firma Avast
berichtet von 99 betroffenen Ländern. Die Schweiz soll glimpflich davongekommen sein, wie verschiedene Medien unter Berufung auf die Melde- und Analystelle Melani berichten. Hierzulande seien höchstens Einzelpersonen betroffen.
Malwarebytes empfiehlt zum Schutz vor der Ransomware, das Windows-System zu aktualisieren und die neuesten Sicherheitspatches zu installieren. Und weiter: "Alle sehr alten Systeme (wie zum Beispiel Windows XP) sollten zurzeit am besten einfach ausgeschaltet werden. Das hilft dabei, die Verbreitung der Ransomware aufzuhalten, wenn das Netzwerk bereits infiziert ist. Zusätzlich sollten Emails, die an Unternehmen geschickt werden, nur mit großer Sorgfalt geöffnet und die Quelle sowie die Links überprüft werden, bevor jemand auf sie klickt. Zu guter Letzt sollte auch so schnell wie möglich – aber natürlich erst wenn der Angriff vorbei ist – eine Sicherheitssoftware installiert werden, die gegen Ransomware-Infektionen schützt."
(mw)