Anzeige
Anzeige
News
Artikel merken

Wanna Cry: Zufälliger Held stoppt Verbreitung des Erpressungs-Trojaners

Es ist das Horrorszenario schlechthin: Krankenhäuser müssen wegen einer Cyber-Attacke schließen – auch die Deutsche Bahn hat es erwischt. Die einfache Registrierung einer Domain stoppte die Verbreitung schließlich.

5 Min. Lesezeit
Anzeige
Anzeige
Screenshot der Malware. (Foto: BBC auf Twitter)

Erpressungs-Trojaner befällt Deutsche Bahn, Krankenhäuser, Telefónica und Fedex

Eine weltweite Welle von Cyber-Attacken hat am Freitag Zehntausende Computer von Unternehmen, Behörden und Verbrauchern blockiert. In Großbritannien wurden Krankenhäuser lahmgelegt, in Deutschland traf es die Deutsche Bahn, in Frankreich Renault, in Spanien den Telekom-Konzern Telefónica und in den USA den Versanddienst Fedex. Die Computer wurden von sogenannten Erpressungstrojanern befallen, die sie verschlüsseln und Lösegeld verlangen. Dabei wurde Experten zufolge eine Sicherheitslücke ausgenutzt, die ursprünglich vom US-Abhördienst NSA entdeckt worden war, aber vor einigen Monaten von Hackern öffentlich gemacht wurde.

Anzeige
Anzeige

Das Bundesinnenministerium teilte auf Twitter mit, dass das Bundeskriminalamt die Ermittlungen zu dem Erpressungs-Trojaner übernommen habe. Computersysteme der Bundesregierung seien nicht betroffen. Von dem Cyberangriff betroffene Institutionen sollten sich an das Bundesamt für Sicherheit in der Informationstechnik (BSI) wenden.

Der weltweite Cyber-Angriff hatte nach Einschätzung der europäischen Ermittlungsbehörde Europol ein bisher „beispielloses Ausmaß“. Es seien komplexe internationale Ermittlungen nötig, um die Hintermänner zu finden, erklärte Europol am Samstag. Die gemeinsame Cybercrime-Taskforce, die aus Experten verschiedener Länder besteht, werde eine wichtige Rolle bei den Ermittlungen spielen.

Anzeige
Anzeige

Renault stoppt Produktion in französischen Werken nach Cyber-Angriff

Der Autobauer Renault stoppte die Produktion in einigen Werken in Frankreich. Der Schritt sei „Teil von Schutzmaßnahmen, um eine Ausbreitung der Schadsoftware zu verhindern“, sagte ein Firmensprecher der Nachrichtenagentur AFP am Samstag. Nach Informationen aus Gewerkschaftskreisen sei das Werk in Sandouville in der Region Seine-Maritime mit rund 3.400 Mitarbeitern besonders betroffen, hieß es. Aus dem Werk kommen vor allem Nutzfahrzeuge wie der Renault Trafic.

Anzeige
Anzeige

Es sei eindeutig eine weltweite Attacke mit Meldungen über befallene Computer aus diversen europäischen Ländern, Russland und auch Asien, sagte Helge Husemann von der IT-Sicherheitsfirma Malwarebytes der Deutschen Presse-Agentur. Der russische Antiviren-Spezialist Kaspersky Lab zählte mehr als 45.000 Angriffe in 74 Ländern, mit einem Schwerpunkt auf Russland. Screenshots auf Twitter zeigten, dass auch Anzeigetafeln der Deutschen Bahn betroffen waren. Der Zugverkehr war laut Mitteilung der Deutschen Bahn auf Twitter davon nicht beinträchtig. Eine t3n-Anfrage an die Bahn aus der Nacht zum Samstag blieb bis zum Samstagmorgen zunächst unbeantwortet.

Domain-Registrierung stoppt Verbreitung von Wanna Cry

Laut einem Bericht des britischen Guardian wurde die Verbreitung des Angriffs in der Nacht zum Samstag durch die einfache Registrierung einer langen Domain gestoppt, die die Angreifer offenbar absichtlich als „Killswitch“ in die Schadsoftware eingebaut haben. Der Betreiber des Blogs Malware-Tech fand nach eigenen Angaben einen Domainnamen im Code der Schadsoftware und registrierte ihn. Offensichtlich sei die Domain von den Angreifern als eine Art Notbremse für ihre Software gedacht gewesen, erklärte Ryan Kalember von der IT-Sicherheitsfirma Proofpoint dem Guardian am Samstag. Die Registrierung durch Malware-Tech dämmte die Attacke ein, auch wenn sich damit für bereits befallene Rechner nichts änderte.

Anzeige
Anzeige

Auch die IT-Sicherheitsfirma Malwarebytes stellte fest, dass mit der Anmeldung der Domain die Ausbreitung des Erpressungstrojaners gestoppt wurde. Der Sicherheitsforscher von Malware-Tech selbst räumte ein, dass ihm anfangs nicht bewusst gewesen sei, dass er mit dem Schritt die Attacke abwürgen würde. Er sei ein „zufälliger Held“, erklärte auch Kalember von Proofpoint.

Die weltweite Cyber-Attacke traf zuvor auch die Technik der Deutschen Bahn zur Videoüberwachung, teilte ein Sprecher des Bundesinnenministeriums am Samstag auf Anfrage in Berlin mit. Die Bahn stellt diese Technik für die Bundespolizei bereit. Die Computernetze der Bundespolizei selbst waren nach Angaben des Sprechers von den Angriffen aber nicht betroffen. Auch für die Bundesregierung und andere Bundesbehörden sei dies zum gegenwärtigen Zeitpunkt auszuschließen, hieß es. Laut Berliner Morgenpost fuhr die Bahn ihr internes Netzwerk am Freitagabend herunter und informierte die eigenen Mitarbeiter um 21 Uhr. Pro Rechner verlangen die Kriminellen dem Bericht zufolge umgerechnet 300 US-Dollar Lösegeld.

Anzeige
Anzeige

In Großbritannien waren Krankenhäuser unter anderem in London, Blackpool, Hertfordshire und Derbyshire lahmgelegt, wie der staatliche Gesundheitsdienst NHS mitteilte. Insgesamt gehe es um 16 NHS-Einrichtungen. Computer seien zum Teil vorsorglich heruntergefahren worden, um Schäden zu vermeiden. Patienten wurden gebeten, nur in dringenden Fällen in Notaufnahmen zu kommen, berichtete die britische Nachrichtenagentur PA.

Die britische Patientenvereinigung (Patients Association) kritisierte, der NHS habe aus früheren Cyber-Attacken nicht gelernt. Verantwortlich für den Angriff seien Kriminelle, aber der NHS habe nicht genug getan, um seine zentralisierten IT-Systeme zu schützen. Im vergangenen Jahr waren unter anderem zwei Krankenhäuser in Deutschland von Erpressungstrojanern betroffen gewesen.

Großbritanniens Premierministerin Theresa May sagte, die Attacken seien nicht gezielt gegen den NHS gerichtet gewesen, sondern er sei bei einem internationalen Angriff in Mitleidenschaft gezogen worden.

Anzeige
Anzeige

Wanna Cry: Lösegeldforderung von Ransomware

In Schweden waren 70 Computer der Gemeinde Timrå betroffen, hieß es auf der Webseite der Verwaltung. Kurz vor 15 Uhr seien die Bildschirme der Mitarbeiter zuerst blau und dann schwarz geworden. Als sie die Rechner neu starteten, hätten sie die Meldung bekommen, dass die Daten verschlüsselt seien und sie für die Freigabe bezahlen müssten.

Der Telekom-Konzern Portugal Telecom (PT) riet den Mitarbeitern, alle Windows-Rechner herunterzufahren. Die PT-Homepage war am Abend nicht abrufbar. Man sei von Hackern attackiert worden, die Lösegeld gefordert hätten, bestätigte ein Firmensprecher. Zahlreiche Kunden der Bank Millennium BCP hatten am Freitag lange keinen Zugriff auf ihre Online-Konten. Das Geldhaus teilte mit, man sei nicht attackiert worden, habe aber vor dem Hintergrund der Cyberattacke vorbeugende technische Vorkehrungen ergriffen. Die Situation sei inzwischen wieder normal.

Fedex entschuldigte sich bei Kunden für Ausfälle durch den Angriff. Die spanische Telefónica bestätigte einen „Cybersicherheits-Vorfall“. Nach Medienberichten sahen am Freitag einige Mitarbeiter auf ihren Computern die für Erpressungstrojaner typische Lösegeldforderung. Die Währung der Wahl war – wie so oft in solchen Fällen – die Kryptowährung Bitcoin. Auf angeblichen Screenshots aus Großbritannien hieß es, sollte der geforderte Betrag nicht innerhalb von sieben Tagen bezahlt werden, würden alle Daten gelöscht.

Anzeige
Anzeige

Erpressungstrojaner werden von IT-Sicherheitsexperten als immer größeres Problem gesehen. Die Computer werden befallen, wenn zum Beispiel ein Nutzer einen fingierten Link in einer E-Mail anklickt. Klassische Antiviren-Software ist oft machtlos. Zugleich können die Angreifer mit dem Lösegeld, das viele Nutzer zahlen, weitere Attacken finanzieren. Meist werden Privatleute Opfer der Erpressungssoftware. Im vergangenen Jahr traf es zum Beispiel aber auch deutsche Gemeindeverwaltungen.

Schadsoftware Wanna Cry auch als Wanna Decryptor bekannt

Die Waffe der Angreifer war Experten zufolge die Schadsoftware Wanna Cry, auch bekannt als Wanna Decryptor . Sie missbraucht eine einst von der NSA ausgenutzte Sicherheitslücke. Nachdem unbekannte Hacker im vergangenen Jahr gestohlene technische Informationen der NSA dazu veröffentlicht hatten, wurden die Schwachstelle eigentlich von Microsoft gestopft. Aber nicht alle Computer wurden auf den neuesten Stand gebracht – und das rächte sich jetzt unter anderem im britischen Gesundheitssystem.

„Alle, die mit kritischen Infrastrukturen zu tun haben, sollten dringen prüfen, ob ihre Systeme auf dem aktuellen Stand sind“, betonte Husemann von Malwarebytes. Microsoft fügte am Freitag Erkennung und Schutz gegen die neue Variante der Erpressungssoftware hinzu.

Anzeige
Anzeige

Die NSA-Daten waren von einer Gruppe mit dem Namen „Shadow Brokers“ veröffentlicht worden. In westlichen IT-Sicherheitskreisen wurden dahinter Hacker mit Verbindungen zu russischen Geheimdienst vermutet. Nach Berichten im russischen Internet waren von der Attacke am Freitag auch Computer des Innenministeriums des Landes betroffen. sdr/dpa

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
9 Kommentare
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Zero

Überhaupt solche Verbrechen zu verüben ist schlimm genug, aber sich dabei noch gegen Krankenhäuser zu richten ist aller unterste Schublade.
Wo sind NSA, Projekt Prison und Konsorten, wenn es mal darum geht, die staatliche Spionage von Netzwerken endlich mal sinnvoll einzusetzen und Digital-Verbrecher dingfest zu machen?

Antworten
MayesticCat

Passiert eher nicht. Hackern beizukommen ist eh eher schwierig. Außerdem zielen Projekte wie Prism und Xkeyscore eher darauf ab „gewöhnliche“ Verbrecher sowie Terroristen ausfindig zu machen (zumindest meines Wissens nach). Die Systeme durchsuchen das Netz nach Spuren wie Schlagwörtern u.ä., wer so gut wie keine Spuren hinterlässt, lässt sich auch schwierig bis gar nicht finden – jedoch werden dafür natürlich alle anderen überwacht. ~~ aber alles Sachen welche Sie vermutlich auch schon wussten. :)

Antworten
Steve

Windows hatte in den letzten Jahren Lücken ohne Ende. Wer glaubt das das alles zufällig passierte, glaubt auch an den Weihnachtsmann.

Warum wohl laufen Webserver zu 99,9 % auf Linux?

Das natürlich Kriminelle diese Lücken -auch- nutzen ist doch abzusehen.

Antworten
Holle

Hallo Steve,
es ist ein Irrglaube, dass soviele Server auf Linux laufen.
Von den aktiven Websites laufen 8,3% auf Microsoft, 46% auf Apache, 19,5% auf nginx und 7% auf Google. Nimmt man nicht nur die aktiven Websites, sind es 45% auf Microsoft und 22,7% bzw. 19,2% auf Apache bzw. nginx (1% Google).
Wer seinen Webserver oder Client mit Windows zudem nicht schlampig pflegt, der kann über die News nur müde lächeln, denn der Patch dafür kam bereits im März raus.
Was passiert ist kein Betriebssystem Problem, sondern ein Admin/User Problem.
Die Sicherheit von Windows vs. Linux lässt sich schwer bewerten. Hätte Linux die Marktverbreitung von Windows, dann würden Hacker nicht 90% ihrer Zeit nutzen Lücken in Windows zu suchen, sondern Linux :-)

Antworten
Arnold Schiller

Hallo Holle,

es gab Angriffe auf RedHat-Server durch Ramen und auch Mirai ist nur dadurch möglich, dass Hersteller dem Benutzer den Zugriff bei Internet-of-Things verweigern und sozusagen das ‚Open-Source-System zu einem Closed-Source machen und Mirai über Standardpasswörter plötzlich in Systeme eindringen kann. Das gleiche Problem herrscht vom Prinzip bei Microsoft vor. Der Fehler ist ohne den Hersteller nicht behebbar. Wenn der Hersteller wie bei WinXP das System nicht mehr supportet wird es unsicher. Offensichtlich haben sowohl NHS als auch DBBahn oder FedEX die Investionskosten eines Betriebssystemwechsels bei bestimmten Systemen gescheut. Vielleicht war auch einfach für die Anzeigetafeln der Bahn kein Geld da um deswegen ein Betriebssystemupdate zu fahren. Oder die Steuerungssoftware war schlicht mit Windows10 inkompatibel und die Entwicklungskosten eines Updates standen in keinem Verhältnis. Klasische Probleme von Closed-Source und wie gesagt auch Mirai hat nur deswegen Chancen, weil Hersteller etwas verschlossen halten. Würde bei den IoT-Geräten die Benutzer bei der Erstinbetriebnahme aufgefordert ein eigenes Passwort zu setzen hätte Mirai keine Chancen – das funktioniert ja nur auf Grund der Standardpasswörter der Hersteller – sozusagen den verheimlichten eingebauten Backdoors.

Antworten
Sebastian

Da wird aber Äpfel mit Birnen verglichen. Apache und Nginx sind Webserver, die meistens auf Linux laufen. Google wird wahrscheinlich in ihrer Cloud Lösung selber Linux nutzen.

Und alle Clustering Lösungen setzen hauptsächlich oder ausschließlich auf Linux: Kubernetes, DC/OS, Docker Swarm usw. Ich glaube auch nicht, dass Linux groß sicherer ist, es sind bloß nicht ganz so viele DAU’s unterwegs. Und für Linux Server gibt es auch gute Auto-Update Lösungen (z.B. Core OS).

Antworten
Mounir Ouali

Die meisten Administratoren haben keine Ahnung …vom Leben .

Antworten
BEN

Ist die Erhebung von Kontoführungsgebühten durch Banken nicht auch Erpressung?

Henning Uhle

Also Windows ist anfällig, keine Frage. Nachdem ich aber mal bei Microsoft vor Ort war, weiß ich, dass die immer wieder versuchen, die Probleme zu lösen.
Die aktuelle Sache ist aber nicht die Schuld von Microsoft. Da werden Infrastrukturen nicht aktuell gehalten. Teilweise ist Windows XP im Einsatz. Kein Wunder, dass so etwas passieren kann. Microsoft hat immer davor gewarnt, Systeme ungepatcht aufs Internet loszulassen.
Ich habe heute morgen auch was dazu geschrieben. Es wird zwar behauptet, dass man die Verbreitung gestoppt hat. Aber dann wird das Zeug einfach nur etwas angepasst.

http://www.henning-uhle.eu/informatik/wannacrypt0rwannacry-erpresserwelle-laeuft-auf-windows

Antworten
Abbrechen

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige