Kurz & knapp
WannaCry ist ein im Mai 2017 großflächig aufgetretene Schadsoftware, die vorrangig Rechner mit dem Betriebssystem Windows 7 und Windows XP befiel. Die Schadsoftware funktioniert als Ransomware. Sie verschlüsselt die Daten des befallenen Rechners und fordert vom Nutzer ein Lösegeld für die Entschlüsselung. Als Besonderheit von WannaCry gilt die zweite Funktionalität eines Computerwurms, die das schlagartige Ausbreiten in knapp 100 Ländern ermöglichte.
Hintergründe: Am 12. Mai 2017 kam es vormittags (9:22 Uhr Weltzeit) zu einer massenhaften Infektion von Windowsrechnern durch eine neuartige Malware. Binnen eines Tages waren weltweit über 230.000 Rechner betroffen. Neben vielen privaten Rechnern, auf denen die Betriebssysteme Windows 7 oder Windows XP liefen, waren auch Industrieanlagen sowie Kritische Infrastrukturen und Regierungsbehörden betroffen. Die Ransomware wird gemeinhin als WannaCry bezeichnet, ist jedoch auch unter den Namen Wcrypt, WCRY, WannaCrypt oder Wana Decrypt0r 2.0 bekannt.
Besonderheiten der Malware WannaCry
Ransomware sind keine Neuigkeit im Bereich der Cyberkriminalität. WannaCry hebt sich von den bisherigen Cyberangriffen jedoch aufgrund seiner aggressiven Weiterverbreitung ab. Neben der reinen Ransomware-Funktion kommt in WannaCry noch die Funktion eines Wurmvirus zum Einsatz. Diese nutzt gezielt den Windows Exploit Code namens EternalBlue sowie das Backdoor-Werkzeug DoublePulsar.
Bislang ist noch nicht abschließend geklärt, wie die Erstinfektion erfolgte. In der Regel sind Ransomware räumlich begrenzt und gehen über einen verhältnismäßig umständlichen Weg von Phishing-Emails mit infizierten Dateien oder schadhaften Links. Aufgrund der Wurmfunktion hat WannaCry jedoch vermutlich nur eine kleine Anzahl von Seed-Rechnern benötigt, um sich schnell weiterzuverbreiten.
Aufbau von WannaCry
WannaCry nutzt zwei Exploits für Schwachstellen in Windows Betriebssystemen:
WannaCry besteht aus zwei Komponenten, die mittels eines Droppers in Form eines Trojaners in das System eingebracht werden:
Funktionsweise von WannaCry
Nach einer initialen Prüfung auf eine Verbindung zur Killswitch-URL (sind diese vom System geblockt oder ist die Domain noch nicht aktiv, wird der Dropper aktiv), kreiert die Malware einen Service namens mssecsvc2.0. Der Service erhält den Displaynamen Microsoft Security Center (2.0) Service. Dieser scannt sowohl das lokale Netzwerk als auch das Internet nach weiteren potentiellen Rechnern mit EternalBlue-Schwachstelle und infiziert diese. Über diese Funktion wird die schnelle Weiterverbreitung gewährleistet.
Der Dropper extrahiert nachfolgend die WannaCry Ransomware (tasksche.exe) und führt diese aus. Auch die Ransomware prüft vorerst auf einen Killswitch in Form einer Ausschlusssoftware namens “MsWinZonesCacheCounterMutexA0” und geht nur dann zum nächsten Schritt über, wenn diese nicht im System gefunden wird.
Nachfolgend setzt WannaCry alle Attribute der Dateien auf “versteckt” und gewährt sich vollen Zugriff auf Dateien im aktuellen Ordner und den darunter liegenden Ordnern. Als nächster Schritt werden alle Dateien verschlüsselt und mit der Endung “.WNCRY” versehen. In jedem Ordner wird eine “@Please_Read_Me@.txt”-Textdatei erstellt, welche die Anweisungen zur Lösegeldzahlung beinhalten.
Zusätzlich wird ein Registry Key erstellt, der auf den Ort der .exe verweist sowie nach Abschluss der Verschlüsselung alle Backups und Systemstände gelöscht.
Abschließend ersetzt die Malware das aktuelle Desktop-Wallpaper mit einer Benachrichtigung und startet eine .exe mit der Lösegeldforderung, einem Timer und Anweisungen für die Bezahlung und Entschlüsselung.
Verbreitung der Malware
Genau genommen war die Mai-Kampagne von WannaCry die bereits dritte Welle und zweite Version der WannaCry Malware.
Betroffene Unternehmen
Nach aktuellem Stand kam es u.a. bei den folgenden Unternehmen und Institutionen aufgrund einer WannaCry-Infektion zu Betriebsausfällen und Störungen:
Abwandlungen von WannaCry
Seit der Mai-Kampagne gibt es immer wieder Abwandlungen der WannaCry Malware, die von anderen Autoren (Copycats) umgesetzt wurden. So wird bereits die WannaCry-Version ohne Killswitch Nachahmern zugeschrieben. Weitere interessante Abwandlungen sind:
Herkunft von WannaCry
Metadatenanalysen der RFT-Dateien weisen darauf hin, dass der Autor der Malware auf seinem Rechner als Standardsprache Englisch und Koreanisch eingestellt hatte. Der Ersteller der Dateien wird als “Messi” geführt, vermutlich angelehnt an den italienischen Fußballspieler. Die Zeitstempel der letzten Bearbeitungen und Kompilierung der Dateien lässt vermuten, dass der Autor in einer der Zeitzonen UT+3 (Höhe Sudan, Türkei, Ukraine, Russland) bis UT+12 (Höhe Nordkorea, Neuseeland) sitzt. Teile des Codes für die erste WannaCry-Version wurden der Lazarus-Gruppe zugewiesen, die mit der Nordkoreanischen Regierung assoziiert sein soll. Tatsächliche Beweise dafür liegen jedoch nicht vor.
Die Interpretation dieser Metadaten ist bislang umstritten. So zeigt die koreanische Lösegeldforderung die schlechteste Qualität von allen Sprachversionen. Die aus den Metadaten extrahierten Bearbeitungszeiten weisen zudem darauf hin, dass der Autor zuerst die englische Sprachdatei bearbeitet hat, bevor er alle weiteren öffnete. Interessant ist zudem, dass WannaCry 1.0, die Malware der ersten Welle im März 2017, ausschließlich auf Englisch ausgeliefert wurde. Erst mit der Mai-Kampagne wurde weitere 27 Sprachen hinzugefügt. Die meiste Zeit verbrachte der Autor mit der Bearbeitung der Dateie in »simplified Chinese«, während er nur eine Minute für die Datei in traditionellem Chinesisch benötigte.
All diese Hinweise könnten jedoch bewusst gelegte Fährten sein, um eine echte Attribution zu vermeiden. Bis dato gibt es keine verlässlichen Hinweise, wer der Autor war oder wo dieser herkommt.
Warum haben die IT-Sicherheitstechnologien bei WannaCry versagt?
WannaCry konnte sich aus zwei Gründen so rasant ausbreiten:
1. Die infizierten Rechner hatten nicht das März 2017 ausgespielte Sicherheitspatch von Microsoft installiert. Die Betreiber der Rechner hatten in diesem Fall das Update versäumt bzw. hinausgezögert. Gerade in Behörden und Unternehmen werden Updates häufig gar nicht oder erst summiert (mehrere Updates in einem) vorgenommen, um mögliche Inkompatibilitäten mit bestehenden Netzwerkkonfigurationen und Softwarefunktionen zu vermeiden.
2. Den gängigen Sicherheitslösungen wie Virenscanner, Firewalls und Intrusion Detection Systems waren die Malware und deren Funktionalitäten nicht bekannt. Dadurch haben diese nicht als Malware erkannt und in das System gelassen.
Zudem konnte die Malware innerhalb des Systems vermutlich undetektiert agieren, weil die IT-Sicherheitstechnologien ausschließlich die “Tore” zum und aus dem System überwachte. Ihnen fehlt jedoch der relevante Einblick in das System.
Hätte die Malware erkannt werden können?
Eine Lösung mit Echtzeit-Anomalieerkennung auf Basis der Deep-Packet-Inspection-Technologie hätte die Attacke frühzeitig detektiert und gemeldet.
Die Anomalieerkennung hätte die Cyberattacke bereits bei den ersten Schritten als neue, ungewöhnliche Kommunikation im Netzwerk detektiert und an den Netzwerkverantwortlichen gemeldet. Die Erstinfektion wäre damit vermutlich nicht abgewehrt worden, jedoch hätte die Weiterverbreitung über die frühzeitige Detektion und Blockierung der neuen Kommunikation stark eingeschränkt und verlangsamt werden können.
Quellen:
https://logrhythm.com/de/blog/a-technical-analysis-of-wannacry-ransomware/
http://blog.en.elevenpaths.com/2017/06/wannacry-chronicles-messi-korean.html