Foto: Black Duck Style - shutterstock.com
Hochzeitstag, Firmenzugehörigkeit oder Vereinsbestehen: Meistens sind Jubiläen ein freudiger Grund zu feiern. Es gibt jedoch Ausnahmen, die weniger schön sind, wie das fünfjährige Jubiläum der Ransomware WannaCry, die nach wie vor gefährlich ist.
Der größte Ransomware-Angriff aller Zeiten
Am 12. Mai 2017 brach WannaCry in die ITK-Szene ein und infizierte mindestens 200.000 Computer in mehr als 150 Ländern. Die Schadsoftware verursachte mehrere Milliarden Dollar an Schäden. Zugeschrieben wurde der großangelegte Angriff der nordkoreanischen Hackergruppe Lazarus.
WannaCry gilt als der größte Ransomware-Ausbruch der Geschichte. Zu den Opfer zählten riesige Unternehmen wie der britische National Health Service, FedEx und die Deutsche Bahn. "Dieser historische Angriff war einer der größten aller Zeiten und zerstörte Hunderttausende von Computern, fast ausschließlich von großen Unternehmen", erinnert sich Mikko Hyppönen, Chief Research Officer bei WithSecure.
Dass die weitere Ausbreitung von WannaCry gestoppt wurde, ist dem Briten Marcus Hutchins zu verdanken, der den "Kill Switch" gefunden hat, betont Gareth Corfield, Senior Technology Reporter beim Telegraph:
Today is the 5th anniversary of the Wannacry ransomware incident, which began as a spillover from a North Korean cyberattack. The spillover eventually brought the NHS to its knees until a lucky Brit bought a killswitch domain, halting it in its tracks.
— Gareth Corfield (@GazTheJourno) May 12, 2022
Hutchins arbeitet nach wie vor beim selben Sicherheitsunternehmen wie vor fünf Jahren. Er schreibt, er bekäme immer noch Interviewanfragen zu WannaCry.
I keep getting interview requests like "it's the 5 year anniversary of WannaCry - where are you now and how did the publicity advance your career?" then I have to explain I still work in the same position at the same company as I did before all that ??
— Marcus Hutchins (@MalwareTechBlog) May 12, 2022
WannaCry ist immer noch gefährlich
Obwohl die WannaCry-Attacke viel mediale Aufmerksamkeit und eine Menge Awareness für Ransomware brachte, scheinen die Lerneffekte nicht besonders nachhaltig gewesen zu sein. In einer Studie berichtet das Cybersicherheitsunternehmen ExtraHop, viele Organisationen würden – wissentlich oder unwissentlich – immer noch zulassen, dass unsichere und veraltete Protokolle in ihren Umgebungen ausgeführt werden. Insgesamt hätten 67 Prozent der untersuchten IT-Umgebungen zehn oder mehr Geräte im Einsatz, auf denen die anfällige Version des SMB-Protokolls (Server Message Block) ausgeführt wird, die bei einem WannaCry-Angriff ausgenutzt wird.
Bereits 2020 warnten die Sicherheitsforscher von Eset davor, dass Wannacry immer noch aktiv ist. Wie Trend Micro herausfand, war die Erpresser-Software auch noch 2021 unterwegs und war sowohl im Juli, August und September die meist entdeckte Ransomware in allen Unternehmensgrößen.
SonicWall ist ein weiteres Sicherheitsunternehmen, welches weiterhin die Entwicklung der WannaCry-Angriffe beobachtet. Im April 2021 entdeckten die Analysten 79.849 Attacken, und schlossen daraus, dass koordinierte Kampagnen mit der Schadsoftware immer noch durchgeführt werden.
Bewusstsein für Ransomware zu gering
Anlässlich des fünften Jahrestages von WannaCry stellte Lisa Forte, Partnerin der Sicherheitsfirma Red Goat Cyber Security, die Frage, ob WannaCry die Katastrophe war, die endlich eine Veränderung im Bewusstsein für Cyberrisiken gebracht hat. Der ethische Hacker Daniel Card verneint, ist jedoch der Meinung, dass es politische Veränderungen gab.
Was it the cataclysmic change in security perception and cyber risk we hoped? NO
— MrR3b00t | #StandWithUkraine #DefendAsOne (@UK_Daniel_Card) May 12, 2022
Did TAs learn more than we did? Probably
Have Govs taken action to better secure zero days / offensive sec tools they develop? I think there has been policy changes... reality changes... who knows
Bharat Mistry, technischer Direktor bei Trend Micro, verweist gegenüber ITPro darauf, dass Hacker WannaCry wahllos verwenden, um in Computer einzudringen, die nicht gepatcht sind. "Der Spray-and-Pray-Ansatz, den Angreifer bei Legacy-Ransomware wie WannaCry verwenden, könnte für das große Volumen an Angriffen verantwortlich sein. Hacker wissen, dass Unternehmen Schwierigkeiten haben, Schwachstellen rechtzeitig zu patchen, und sie wissen, dass WannaCry sehr erfolgreich ist, warum also das Rad neu erfinden?"
Darüber hinaus würden noch zahlreiche automatisierte Kampagnen existieren, die nie deaktiviert wurden und weiterhin ungepatchte Systeme angreifen. ITPro empfiehlt Unternehmen, die es bisher versäumt haben, Updates einzuspielen, dies unbedingt nachzuholen. Da sich WannaCry automatisch verbreitet, müssen Sie zudem sichergehen, die Ransomware vollständig aus Ihren Netzwerken zu entfernen, da sie die Systeme sonst erneut infiziert und WannaCry einen weiteren erfolgreichen Jahrestag erlebt. (ms)
Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation CSO Online.