Zurzeit sind Firmen, Behörden und andere Organisationen auf der gesamten Welt Opfer einer massiven Cyberattacke. Die zehntausenden Computer, die bisher befallen sind, wurden von einem Erpressungstrojaner gekapert, der die Dateien verschlüsselt und ein Lösegeld verlangt, welches über Bitcoin gezahlt werden soll. Ein Timer kündigt die Erhöhung des „fälligen Betrages“ an, ein weiterer, wann alle Dateien vernichtet werden.
Freitag
Die weltweite Attacke begann in einigen Krankenhäusern von Großbritannien. Hier hat der Trojaner, dessen Namen „WannaCry“ ist, die PCs lahmgelegt und sich dann im Lauffeuer verbreitet. Nach Kaspersky gab es am Freitag-Abend bereits über 50.000 infizierte Systeme, die in 74 verschiedenen Ländern festgestellt worden sind. Laut Information aus Spanien wurde anscheinend eine Sicherheitslücke ausgenutzt, die einst von der NSA entdeckt worden war. Diese Daten wurden daraufhin von der Hacker-Gruppierung „Shadow-Brokers“ im Internet veröffentlicht.
Die Premierministerin Theresa May verkündigte, dass bei den Attacken nach ihrem Kenntnisstand alle Daten in den Krankenhäusern noch vorhanden sind. Die NHS-Computer wären mehr ein zufälliges Ziel gewesen, „es handelt sich um einen internationalen Angriff und zahlreiche Länder und Organisationen sind betroffen", so May“.
Microsoft entwarnt private Nutzer
Microsoft entwarnt aber alle privaten Nutzer. Solange man ein Virenschutzprogramm aktiv habe und regelmäßig Windows-Updates durchführe, gäbe es keine Sicherheitslücke in den Computern.
Der Fall zeigt dennoch auf, dass Schadprogramme wie „WannaCry“ ein immer größeres Sicherheitsrisiko darstellen. Durch den massiven Befall und den Opfern, die oft das Lösegeld zahlen, statt ein Risiko eingehen, können in Zukunft auch weitere Attacken finanziert werden.
Samstag
Zum heutigen Abend sprach der Chef-Experte der in Helsinski ansässigen Cyber-Sicherheitsfirma „F-Secure, Mikko Hyppönen, dass es sich um den größten Ransomeware-Ausbruch der Geschichte handelt. Bisher wären Rechner in weit über 100 Ländern betroffen, die mit der Schadsoftware „WannaCry“ befallen sind. Europol sprach von einem „beispiellosen Ausmaß“.
Der Trojaner konnte sich durch eine initiale Infektion in einem Netzwerk ungehindert auf weitere Computer ausbreiten, was „insbesondere in Netzwerken von Unternehmen und Organisationen zu einem großflächigen Systemausfall führen kann“, erklärt das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Betroffen waren vor allem ältere Rechner mit dem Betriebssystem „Windows XP“ und Rechner, die noch nicht die aktuellsten Updates von Microsoft draufgespielt hatten. Daraufhin hat Microsoft sogar schnell noch ein Sicherheitsupdate für alle XP-Versionen nachgelegt. Nach aktuellen Informationen sind aber keine Windows 10-Rechner betroffen.
Experten vermuten, dass die Lücke schon viel früher hätte geschlossen werden können. Doch die NSA hatte die Lücke nicht frühzeitig an Microsoft weitergeleitet, was zu diesem Ausbruch des Trojaners hat führen können.
Die Attacke scheint aber vorerst gestoppt. Ein IT-Sicherheitsforscher schien auf eine Art „Notbremse“ im Code gestoßen. Laut dem Betreiber „MalewareTech“ auf Twitter, wäre er auf eine nicht registrierte Domain gestoßen, die er in Folge registriert lassen hat. Daraufhin wurde eine Funktion namens „Kill Switch“ aktiviert, die die Verbreiterung vorerst stoppte.
Was wird Europol tun?
Um die Hintermänner für den Angriff zu finden, wären komplexe internationale Ermittlungen nötig, erklärte Europol am Samstag. Bei den Ermittlungen werde die „Cybercrime-Taskforce“ eine wichtige Rolle, welche aus verschiedenen Experten aus diversen Ländern besteht, spielen. In Deutschland hat das BKA die Ermittlungen übernommen. Thomas de Maizière hatte betont, dass der Angriff zwar nicht der erste seiner Art war, dafür aber der bisher schwerwiegendste.
Sonntag
Über 75.000 infizierte Rechner, dies in über 100 Ländern. Das ist die aktuelle Zahl zum Sonntag. Doch die Betroffenen sind nicht bereit, das Lösegeld zu zahlen. Bisher konnten die Erpresser nur knapp 31.000 $ über BitCoin verdienen. Das sind nur knapp 0,14% der Opfer. Die Einnahmen lassen sich dank BitCoin in Echtzeit verfolgen, da die Daten in einer sogenannten Blockchain auf tausenden Rechnern verteilt und gespeichert werden. Ein Reporter des „Quartz“ hat dazu auf Twitter ein Bot aktiviert, der die drei von den Erpressern angegeben Bitcoins-Adressen stets verfolgt, und bei einer Zahlung einen Tweet absetzt. Da es aber noch eine vierte Adresse geben soll, die nicht verfolgt wird, könnten die Einnahmen höher liegen als angenommen.
Aber nicht nur Eingänge werden gespeichert, sondern auch, wenn die Hacker das Geld aus dem Wallet abheben. Sollten ihnen dabei ein Fehler unterlaufen, könnte dies zur Identifizierung führen.
NSA trifft Teilschuld
Doch der Schaden, der aus diesem Angriff resultierte, dürfte höher liegen, als die Einnahmen der Kriminellen. Laut IT-Experten sind die Hacker aber nicht unbedingt Genies. Die rasante Verbreitung verdanken sie vor allem der NSA. Diese hatten zwar eine Lücke gefunden und dieses Microsoft zugesendet… Zeitgleich aber auch ein Tool entwicklet, welches den NSA-Codename „Eternalblue“ heißt, welches die Lücke für Zwecke der NSA ausnutzen soll. Die Gruppe „Shadow Brokers“ veröffentlichte dieses und andere Werkzeuge der NSA, vor allem um vor deren Politik zu warnen. Kriminelle nutzen diese aber nun, um ihre kriminellen Machenschaften auszuüben.
Damit trifft die NSA eine Teilschuld. Ein großes Problem ist und bleibt dennoch die veralteten Rechner und Systeme, die zu selten auf den neuesten Stand gebracht worden sind. Gleichzeitig fordert der Grünen Bundestagsabgeordnete Konstantin, dass die Geheimdienste solche Lücken nicht ausnutzen dürften, da der Verlust höher wiegt als der Informationsgewinn.
WannaCry ist noch nicht mit neuer Version zurück
Zum Samstag berichteten wir, dass der Trojaner vorerst stillgelegt wurde. Ein „kill switch“ Schalter wurde unabsichtlich aktiviert, als ein IT-Sicherheitsforscher von MalewareTech eine Domain in dem Code fand und diese aktivierte. Vorerst hieß es, dass eine neue Version im Umlauf ist, dies schien aber eine Fehl-Information gewesen zu sein, so mehrere Medien. Dennoch gilt weiterhin der Rat, schnellstens alte System upzudaten, um neue Angriffe
Sollte uns zu WannaCry neue und wichtige Informationen erreichen, lassen wir euch dies wissen. Was für eine Meinung habt ihr zu dem Thema? Könnt ihr so einen Angriff rechtfertigen, selbst wenn das Leben von Menschen dabei gefährdet wird? Lasst es uns wissen!
Freitag
Die weltweite Attacke begann in einigen Krankenhäusern von Großbritannien. Hier hat der Trojaner, dessen Namen „WannaCry“ ist, die PCs lahmgelegt und sich dann im Lauffeuer verbreitet. Nach Kaspersky gab es am Freitag-Abend bereits über 50.000 infizierte Systeme, die in 74 verschiedenen Ländern festgestellt worden sind. Laut Information aus Spanien wurde anscheinend eine Sicherheitslücke ausgenutzt, die einst von der NSA entdeckt worden war. Diese Daten wurden daraufhin von der Hacker-Gruppierung „Shadow-Brokers“ im Internet veröffentlicht.
- In Großbritannien wurde aufgrund des Angriffes die Bevölkerung gebeten, nur bei absoluten Notfällen in eine Klinik zu gehen. Einige Patienten mussten auch verlegt werden.
- Besonders hart traf es Russland. Das Innenministerium hatte bestätigt, dass auch auf ihren Rechner ein Angriff verübt worden war. Es wären über 1000 PCs betroffen, Daten wären aber keine verloren gegangen.
- Auch in den USA wurde das Logistikunternehmen FedEx Opfer. Das Unternehmen entschuldigte sich bei den Kunden für Ausfälle und Verzögerungen.
- In Portugal hat "Portugal Telecom" den Mitarbeitern geraten, die Rechner auszuschalten, ebenfalls war dessen Webseite am Freitag-Abend nicht erreichbar.
- Auch Deutschland hat es getroffen. Betroffen war die Deutsche Bahn. Der Angriff hat den Zugverkehr aber nicht beeinträchtigt, es seien lediglich die Anzeigetafeln betroffen gewesen.
Die Premierministerin Theresa May verkündigte, dass bei den Attacken nach ihrem Kenntnisstand alle Daten in den Krankenhäusern noch vorhanden sind. Die NHS-Computer wären mehr ein zufälliges Ziel gewesen, „es handelt sich um einen internationalen Angriff und zahlreiche Länder und Organisationen sind betroffen", so May“.
Microsoft entwarnt private Nutzer
Microsoft entwarnt aber alle privaten Nutzer. Solange man ein Virenschutzprogramm aktiv habe und regelmäßig Windows-Updates durchführe, gäbe es keine Sicherheitslücke in den Computern.
Der Fall zeigt dennoch auf, dass Schadprogramme wie „WannaCry“ ein immer größeres Sicherheitsrisiko darstellen. Durch den massiven Befall und den Opfern, die oft das Lösegeld zahlen, statt ein Risiko eingehen, können in Zukunft auch weitere Attacken finanziert werden.
Samstag
Zum heutigen Abend sprach der Chef-Experte der in Helsinski ansässigen Cyber-Sicherheitsfirma „F-Secure, Mikko Hyppönen, dass es sich um den größten Ransomeware-Ausbruch der Geschichte handelt. Bisher wären Rechner in weit über 100 Ländern betroffen, die mit der Schadsoftware „WannaCry“ befallen sind. Europol sprach von einem „beispiellosen Ausmaß“.
Der Trojaner konnte sich durch eine initiale Infektion in einem Netzwerk ungehindert auf weitere Computer ausbreiten, was „insbesondere in Netzwerken von Unternehmen und Organisationen zu einem großflächigen Systemausfall führen kann“, erklärt das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Betroffen waren vor allem ältere Rechner mit dem Betriebssystem „Windows XP“ und Rechner, die noch nicht die aktuellsten Updates von Microsoft draufgespielt hatten. Daraufhin hat Microsoft sogar schnell noch ein Sicherheitsupdate für alle XP-Versionen nachgelegt. Nach aktuellen Informationen sind aber keine Windows 10-Rechner betroffen.
Experten vermuten, dass die Lücke schon viel früher hätte geschlossen werden können. Doch die NSA hatte die Lücke nicht frühzeitig an Microsoft weitergeleitet, was zu diesem Ausbruch des Trojaners hat führen können.
Die Attacke scheint aber vorerst gestoppt. Ein IT-Sicherheitsforscher schien auf eine Art „Notbremse“ im Code gestoßen. Laut dem Betreiber „MalewareTech“ auf Twitter, wäre er auf eine nicht registrierte Domain gestoßen, die er in Folge registriert lassen hat. Daraufhin wurde eine Funktion namens „Kill Switch“ aktiviert, die die Verbreiterung vorerst stoppte.
Was wird Europol tun?
Um die Hintermänner für den Angriff zu finden, wären komplexe internationale Ermittlungen nötig, erklärte Europol am Samstag. Bei den Ermittlungen werde die „Cybercrime-Taskforce“ eine wichtige Rolle, welche aus verschiedenen Experten aus diversen Ländern besteht, spielen. In Deutschland hat das BKA die Ermittlungen übernommen. Thomas de Maizière hatte betont, dass der Angriff zwar nicht der erste seiner Art war, dafür aber der bisher schwerwiegendste.
Sonntag
Über 75.000 infizierte Rechner, dies in über 100 Ländern. Das ist die aktuelle Zahl zum Sonntag. Doch die Betroffenen sind nicht bereit, das Lösegeld zu zahlen. Bisher konnten die Erpresser nur knapp 31.000 $ über BitCoin verdienen. Das sind nur knapp 0,14% der Opfer. Die Einnahmen lassen sich dank BitCoin in Echtzeit verfolgen, da die Daten in einer sogenannten Blockchain auf tausenden Rechnern verteilt und gespeichert werden. Ein Reporter des „Quartz“ hat dazu auf Twitter ein Bot aktiviert, der die drei von den Erpressern angegeben Bitcoins-Adressen stets verfolgt, und bei einer Zahlung einen Tweet absetzt. Da es aber noch eine vierte Adresse geben soll, die nicht verfolgt wird, könnten die Einnahmen höher liegen als angenommen.
Aber nicht nur Eingänge werden gespeichert, sondern auch, wenn die Hacker das Geld aus dem Wallet abheben. Sollten ihnen dabei ein Fehler unterlaufen, könnte dies zur Identifizierung führen.
NSA trifft Teilschuld
Doch der Schaden, der aus diesem Angriff resultierte, dürfte höher liegen, als die Einnahmen der Kriminellen. Laut IT-Experten sind die Hacker aber nicht unbedingt Genies. Die rasante Verbreitung verdanken sie vor allem der NSA. Diese hatten zwar eine Lücke gefunden und dieses Microsoft zugesendet… Zeitgleich aber auch ein Tool entwicklet, welches den NSA-Codename „Eternalblue“ heißt, welches die Lücke für Zwecke der NSA ausnutzen soll. Die Gruppe „Shadow Brokers“ veröffentlichte dieses und andere Werkzeuge der NSA, vor allem um vor deren Politik zu warnen. Kriminelle nutzen diese aber nun, um ihre kriminellen Machenschaften auszuüben.
Damit trifft die NSA eine Teilschuld. Ein großes Problem ist und bleibt dennoch die veralteten Rechner und Systeme, die zu selten auf den neuesten Stand gebracht worden sind. Gleichzeitig fordert der Grünen Bundestagsabgeordnete Konstantin, dass die Geheimdienste solche Lücken nicht ausnutzen dürften, da der Verlust höher wiegt als der Informationsgewinn.
WannaCry ist noch nicht mit neuer Version zurück
Zum Samstag berichteten wir, dass der Trojaner vorerst stillgelegt wurde. Ein „kill switch“ Schalter wurde unabsichtlich aktiviert, als ein IT-Sicherheitsforscher von MalewareTech eine Domain in dem Code fand und diese aktivierte. Vorerst hieß es, dass eine neue Version im Umlauf ist, dies schien aber eine Fehl-Information gewesen zu sein, so mehrere Medien. Dennoch gilt weiterhin der Rat, schnellstens alte System upzudaten, um neue Angriffe
Sollte uns zu WannaCry neue und wichtige Informationen erreichen, lassen wir euch dies wissen. Was für eine Meinung habt ihr zu dem Thema? Könnt ihr so einen Angriff rechtfertigen, selbst wenn das Leben von Menschen dabei gefährdet wird? Lasst es uns wissen!
mbö/jkoe/yes/dpa/ZEIT