Schadsoftware funktioniert als Ransomware

WannaCry

1.1.2018
10 min

Kurz & knapp

WannaCry ist ein im Mai 2017 großflächig aufgetretene Schadsoftware, die vorrangig Rechner mit dem Betriebssystem Windows 7 und Windows XP befiel. Die Schadsoftware funktioniert als Ransomware. Sie verschlüsselt die Daten des befallenen Rechners und fordert vom Nutzer ein Lösegeld für die Entschlüsselung. Als Besonderheit von WannaCry gilt die zweite Funktionalität eines Computerwurms, die das schlagartige Ausbreiten in knapp 100 Ländern ermöglichte.

Hintergründe: Am 12. Mai 2017 kam es vormittags (9:22 Uhr Weltzeit) zu einer massenhaften Infektion von Windowsrechnern durch eine neuartige Malware. Binnen eines Tages waren weltweit über 230.000 Rechner betroffen. Neben vielen privaten Rechnern, auf denen die Betriebssysteme Windows 7 oder Windows XP liefen, waren auch Industrieanlagen sowie Kritische Infrastrukturen und Regierungsbehörden betroffen. Die Ransomware wird gemeinhin als WannaCry bezeichnet, ist jedoch auch unter den Namen Wcrypt, WCRY, WannaCrypt oder Wana Decrypt0r 2.0 bekannt.

Besonderheiten der Malware WannaCry

Ransomware sind keine Neuigkeit im Bereich der Cyberkriminalität. WannaCry hebt sich von den bisherigen Cyberangriffen jedoch aufgrund seiner aggressiven Weiterverbreitung ab. Neben der reinen Ransomware-Funktion kommt in WannaCry noch die Funktion eines Wurmvirus zum Einsatz. Diese nutzt gezielt den Windows Exploit Code namens EternalBlue sowie das Backdoor-Werkzeug DoublePulsar.

Bislang ist noch nicht abschließend geklärt, wie die Erstinfektion erfolgte. In der Regel sind Ransomware räumlich begrenzt und gehen über einen verhältnismäßig umständlichen Weg von Phishing-Emails mit infizierten Dateien oder schadhaften Links. Aufgrund der Wurmfunktion hat WannaCry jedoch vermutlich nur eine kleine Anzahl von Seed-Rechnern benötigt, um sich schnell weiterzuverbreiten.

Aufbau von WannaCry

WannaCry nutzt zwei Exploits für Schwachstellen in Windows Betriebssystemen:

  • EternalBlue: Die Schwachstelle im Windows Server Message Block (SMB) Protokoll - konkret die SMBv1-Schnittstelle in Windows Betriebssystemen, welche für die Drucker - und Dateifreigabe benötigt wird - erlaubt den Fernzugriff auf Rechner.
  • DoublePulsar: Das von der National Security Agency (NSA) entwickelte Werkzeug ermöglicht Cyberhackern, auf einem Rechner eine Backdoor zu installieren und Administratorenrechte zu erlangen. Mit dem Befehl execs wird nachfolgend das Installieren und Ausführen beliebiger Softwarepakete realisiert. Das WannaCry Malware-Paket nutzt bereits existierende DoublePulsar-Infektionen auf Rechner aus oder kreiert diese im Verlauf selbstständig.

WannaCry besteht aus zwei Komponenten, die mittels eines Droppers in Form eines Trojaners in das System eingebracht werden:

  • Komponente zum Ausnutzen der EternalBlue-Schwachstelle für Wurmfunktion
  • WannaCry Ransomware

Funktionsweise von WannaCry

Nach einer initialen Prüfung auf eine Verbindung zur Killswitch-URL (sind diese vom System geblockt oder ist die Domain noch nicht aktiv, wird der Dropper aktiv), kreiert die Malware einen Service namens mssecsvc2.0. Der Service erhält den Displaynamen Microsoft Security Center (2.0) Service. Dieser scannt sowohl das lokale Netzwerk als auch das Internet nach weiteren potentiellen Rechnern mit EternalBlue-Schwachstelle und infiziert diese. Über diese Funktion wird die schnelle Weiterverbreitung gewährleistet.

Der Dropper extrahiert nachfolgend die WannaCry Ransomware (tasksche.exe) und führt diese aus. Auch die Ransomware prüft vorerst auf einen Killswitch in Form einer Ausschlusssoftware namens “MsWinZonesCacheCounterMutexA0” und geht nur dann zum nächsten Schritt über, wenn diese nicht im System gefunden wird.

Nachfolgend setzt WannaCry alle Attribute der Dateien auf “versteckt” und gewährt sich vollen Zugriff auf Dateien im aktuellen Ordner und den darunter liegenden Ordnern. Als nächster Schritt werden alle Dateien verschlüsselt und mit der Endung “.WNCRY” versehen. In jedem Ordner wird eine “@Please_Read_Me@.txt”-Textdatei erstellt, welche die Anweisungen zur Lösegeldzahlung beinhalten.

Zusätzlich wird ein Registry Key erstellt, der auf den Ort der .exe verweist sowie nach Abschluss der Verschlüsselung alle Backups und Systemstände gelöscht.

Abschließend ersetzt die Malware das aktuelle Desktop-Wallpaper mit einer Benachrichtigung und startet eine .exe mit der Lösegeldforderung, einem Timer und Anweisungen für die Bezahlung und Entschlüsselung.

Verbreitung der Malware

Genau genommen war die Mai-Kampagne von WannaCry die bereits dritte Welle und zweite Version der WannaCry Malware.

  • Februar 2017: Identifizierung einer ersten Version der Ransomware WannaCry auf einzelnen Rechnern.
  • März 2017: Microsoft reagiert mit Sicherheitspatch CVE-2017-0144 für die zu diesem Zeitpunkt unterstützten Windowssysteme (ohne XP).
  • März 2017: Zweite WannaCry-Welle ohne Wurmfunktion. Metadaten-Analysen weisen darauf hin, dass es sich um einen Vorgänger der Mai-Kampagne handelte und derselbe Autor hinter beiden Kampagnen (März und Mai) steckt.
  • April 2017: Shadow Broker veröffentlichen den Exploit Code für die Schwachstellen EternalBlue und DoublePulsar, welche die Wurmfunktion ermöglichen. Die Exploits wurden vermutlich von den Servern der NSA gestohlen. Die NSA soll demnach seit längerem von der Schwachstelle gewusst und sie für ihre eigenen Tätigkeiten ausgenutzt haben.
  • Mai 2017, 0:22 Uhr UTC: In Palo Alto wird erstmalig eine neue Version von WannaCry identifiziert. 9:22 Uhr UTC kommt es zu einer massenhaften Infektionswelle, in deren Verlauf über 230.000 Rechner in über 100 Ländern infiziert werden.
  • Mai 2017: Microsoft veröffentlicht Sicherheitspatch für CVE-2017-0144 für Windows XP. Die Verbreitung wird jedoch vor allem durch die Identifizierung einer Killswitch-URL durch den 22-jährige Briten Marcus Hutchins verhindert. Hutchins entdeckt die URL bei einer ersten Analyse der Malware, ohne zu wissen, welche Funktion diese hat. Er registriert die Domain, um die Funktionalität der Malware tracken zu können und löst damit - unwissentlich - den Killswitch aus.
  • Mai 2017: Der Autor der Malware veröffentlicht eine weitere Version der Malware mit abgeänderter Killswitch-URL. Auch diese wird am selben Tag identifiziert und aktiviert. Kurze Zeit später taucht ein weitere Abwandlung ohne Killswitch auf, die Uiwix genannt wird. Diese Variante ist jedoch fehlerhaft und hat deshalb keinen großen Impact.
  • Mai 2017: Hacker versuchen, über eine Variante des Mirai Botnets die Killswitch-Domain mittels einer DDoS-Attacke auszuschalten. Dies konnte verhindert werden, indem auf eine „cached“ Version der Seite umgeleitet wurde, die eine weitaus höhere Kapazität aufweist.

Betroffene Unternehmen

Nach aktuellem Stand kam es u.a. bei den folgenden Unternehmen und Institutionen aufgrund einer WannaCry-Infektion zu Betriebsausfällen und Störungen:

  • FedEx
  • Telefónica
  • NHS (Teile)
  • Renault
  • Nissan in Großbritannien
  • Deutsche Bahn und Schenker
  • Banco Bilbao Vizcaya Argentaria (spanische Bank)
  • Vivo (brasilianisches Telekommunikationsunternehmen)
  • Sandvik (Schweden)
  • PetroChina
  • Rumänisches Außenministerium
  • Russisches Innenministerium und Katastrophenschutzministerium
  • MegaFon (Russland)

Abwandlungen von WannaCry

Seit der Mai-Kampagne gibt es immer wieder Abwandlungen der WannaCry Malware, die von anderen Autoren (Copycats) umgesetzt wurden. So wird bereits die WannaCry-Version ohne Killswitch Nachahmern zugeschrieben. Weitere interessante Abwandlungen sind:

  • SLocker: Anfang Juni 2017 tauchte eine neue Version der mobilen Ransomware SLocker auf. SLocker gehört zu einer der ältesten Ransomwarefamilien, welche die Bildschirme mobiler Geräte sperrt und erst gegen Lösegeld wieder freigibt. Dabei werden die Anschreiben von Strafverfolgungsbehörden imitiert, die Nutzer auffordern, ihr Strafgeld zu zahlen. Die neue Version von SLocker nutzte die GUI von WannaCry und war erstmals in der Lage, Daten auf mobilen Geräten zu verschlüsseln. Der Schaden der Kampagne hielt sich in Grenzen, da bereits kurz nach Detektion Entschlüsselungsprogramme für Android veröffentlicht wurden. Fünf Tage später wurde der vermutliche Autor der Malware festgenommen.
  • EternalPetya: Am 27. Juni kam es in der Ukraine zu einer neuen Welle von Ransomware-Infektionen. Betroffen waren ausschließlich Rechner, auf denen Buchhaltungssoftware der ukrainischen Firma M.E.Doc liefen. Dadurch beschränkte sich der Ausbruch auch vorrangig auf die Ukraine. Die als EternalPetya (u.a. auch NotPetya, Expetr) bezeichnete Malware basiert auf der bereits bekannten Petya-Ransomwarefamilie, nutzt jedoch die Exploits DoublePulsar und EternalBlue für die Infektion und Verbreitung.

Herkunft von WannaCry

Metadatenanalysen der RFT-Dateien weisen darauf hin, dass der Autor der Malware auf seinem Rechner als Standardsprache Englisch und Koreanisch eingestellt hatte. Der Ersteller der Dateien wird als “Messi” geführt, vermutlich angelehnt an den italienischen Fußballspieler. Die Zeitstempel der letzten Bearbeitungen und Kompilierung der Dateien lässt vermuten, dass der Autor in einer der Zeitzonen UT+3 (Höhe Sudan, Türkei, Ukraine, Russland) bis UT+12 (Höhe Nordkorea, Neuseeland) sitzt. Teile des Codes für die erste WannaCry-Version wurden der Lazarus-Gruppe zugewiesen, die mit der Nordkoreanischen Regierung  assoziiert sein soll. Tatsächliche Beweise dafür liegen jedoch nicht vor.

Die Interpretation dieser Metadaten ist bislang umstritten. So zeigt die koreanische Lösegeldforderung die schlechteste Qualität von allen Sprachversionen. Die aus den Metadaten extrahierten Bearbeitungszeiten weisen zudem darauf hin, dass der Autor zuerst die englische Sprachdatei bearbeitet hat, bevor er alle weiteren öffnete. Interessant ist zudem, dass WannaCry 1.0, die Malware der ersten Welle im März 2017, ausschließlich auf Englisch ausgeliefert wurde. Erst mit der Mai-Kampagne wurde weitere 27 Sprachen hinzugefügt. Die meiste Zeit verbrachte der Autor mit der Bearbeitung der Dateie in »simplified Chinese«, während er nur eine Minute für die Datei in traditionellem Chinesisch benötigte.

All diese Hinweise könnten jedoch bewusst gelegte Fährten sein, um eine echte Attribution zu vermeiden. Bis dato gibt es keine verlässlichen Hinweise, wer der Autor war oder wo dieser herkommt.

Warum haben die IT-Sicherheitstechnologien bei WannaCry versagt?

WannaCry konnte sich aus zwei Gründen so rasant ausbreiten:

1. Die infizierten Rechner hatten nicht das März 2017 ausgespielte Sicherheitspatch von Microsoft installiert. Die Betreiber der Rechner hatten in diesem Fall das Update versäumt bzw. hinausgezögert. Gerade in Behörden und Unternehmen werden Updates häufig gar nicht oder erst summiert (mehrere Updates in einem) vorgenommen, um mögliche Inkompatibilitäten mit bestehenden Netzwerkkonfigurationen und Softwarefunktionen zu vermeiden.

2. Den gängigen Sicherheitslösungen wie Virenscanner, Firewalls und Intrusion Detection Systems waren die Malware und deren Funktionalitäten nicht bekannt. Dadurch haben diese nicht als Malware erkannt und in das System gelassen.

Zudem konnte die Malware innerhalb des Systems vermutlich undetektiert agieren, weil die IT-Sicherheitstechnologien ausschließlich die “Tore” zum und aus dem System überwachte. Ihnen fehlt jedoch der relevante Einblick in das System.

Hätte die Malware erkannt werden können?

Eine Lösung mit Echtzeit-Anomalieerkennung auf Basis der Deep-Packet-Inspection-Technologie hätte die Attacke frühzeitig detektiert und gemeldet.

Die Anomalieerkennung hätte die Cyberattacke bereits bei den ersten Schritten als neue, ungewöhnliche Kommunikation im Netzwerk detektiert und an den Netzwerkverantwortlichen gemeldet. Die Erstinfektion wäre damit vermutlich nicht abgewehrt worden, jedoch hätte die Weiterverbreitung über die frühzeitige Detektion und Blockierung der neuen Kommunikation stark eingeschränkt und verlangsamt werden können.

Quellen:

https://logrhythm.com/de/blog/a-technical-analysis-of-wannacry-ransomware/

https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/

http://blog.en.elevenpaths.com/2017/06/wannacry-chronicles-messi-korean.html

http://blog.trendmicro.com/trendlabs-security-intelligence/slocker-mobile-ransomware-starts-mimicking-wannacry/

https://blog.malwarebytes.com/threat-analysis/malware-threat-analysis/2017/07/all-this-eternalpetya-stuff-makes-me-wannacry/

Aktuelle Posts

Wie sinnvoll ist KI in der OT-Sicherheit

Die häufigsten Argumente für KI in der OT hinterfragt

In unserem Blogpost “Wie sinnvoll ist KI in der OT-Sicherheit" haben wir den Mehrwert und die Risiken Künstlicher Intelligenz in OT-Sicherheitslösungen beleuchtet. Zeit, den konkreten Argumenten für KI auf den Zahn zu fühlen.
9.12.2024
5 min

Künstliche Intelligenz

Wie sinnvoll ist KI im OT-Sicherheitsmonitoring?

Künstliche Intelligenz scheint in der heutigen Zeit als Allheilsbringer gehandelt zu werden – von der morgigen Einkaufsliste bis zum Weltfrieden.
2.12.2024
5 min

10 Jahre Rhebo

Zehn Jahre OT Security Made Simple

Wer hätte das gedacht…? Was vor zehn Jahren als fixe Idee in einem Kopf begann, hat bis heute allein in Deutschland ...
6.11.2024
10 min
Alle Rechte vorbehalten - Rhebo
Facebook Icon weissLikedIn Icon weiss