Die Quelle von WannaCry wird von verschiedenen Seiten in Nordkorea vermutet bzw. bei der Lazarus Group, die wiederum dem Land zumindest nahe steht. Nordkorea bestreitet das natürlich, aber eigentlich ist es auch fast egal, aus welcher Ecke der Welt dieser Trojaner nun stammt. Interessanter ist es doch, mal zu schauen, was wir durch WannaCry gelernt haben und was sich nach dieser Ransomware-Welle in Zukunft ändert oder ändern könnte.
Veränderung: Das Verhältnis der Erpresser zu ihren „Kunden“
Galt bislang, dass das Verhältnis zwischen den Erpressern und den unfreiwilligen Nutzern ihrer Ransomware als eine Art „Dienstleister-Kunde-Verhältnis“ betrachtet wurde – zumindest von Seiten der Erpresser aus – dann kann man sich spätestens nach WannaCry darauf nicht mehr verlassen. Tatsächlich gab es bei anderer Ransomware teilweise einen Support für die „Kunden“, der so manche einen Support anderer Softwarehersteller – deren Produkte man sich freiwillig installiert hatte – alt aussehen liess. Klar, man wollte ja etwas von den „Kunden“, nämlich Geld, also versucht man sie vergessen zu lassen, wer für den Mist verantwortlich ist, der hier gerade eine Menge Geld kostet und spielt die Rolle des netten Dienstleisters von nebenan. Bislang erfolgreich.
WannaCry dagegen war in einer ersten Variante so schlampig zusammengebaut, dass ein solcher „Kundendienst“ für „zahlende Kunden“ gar nicht möglich gewesen wäre. Und trotz gegenteiliger Beteuerungen der Erpresser, vermisst man Berichte von Keys, die nach der Zahlung des Lösegelds auch ausgeliefert und zur erfolgreichen Entschlüsselung der in Geiselhaft genommenen Daten verwendet wurden. Apropos „gegenteilige Beteuerungen“: Auch ungewöhnlich war die zweite Bettelnachricht bei den Opfern: Da wurde per Mitteilung an die „ehrlichen Kunden“ appelliert, doch bitte endlich das Lösegeld zu zahlen. Also Humor haben die WannaCry-Verursacher definitiv: Als Erpresser zu versuchen, dem Opfer was zu erzählen, von wegen es solle sich verhalten, wie es sich für einen „ehrlichen Kunden“ gehören.
Andererseits ist auch das neu: Bislang haben sich die Erpresser auf das Verschlüsseln und die einmalige Mitteilung über die möglichen Wege der Zahlung eines Lösegelds beschränkt. Eine nachfolgende Bettelei erscheint angesichts der recht überschaubaren Menge an Zahlungen zwar nachvollziehbar, ist aber ein Novum bei Ransomware.
Überraschung: Windows XP war gar nicht das Problem
Recht schnell hatte man nach der Welle an Infektionen Uraltsysteme mit Windows XP in Verdacht, hier Hauptursache für diese Welle zu sein. Aktuelle Zahlen legen aber nahe, dass beinahe alle betroffenen Systeme mit Windows 7 laufen. Windows XP kommt hier praktisch nicht vor, die Zahl der Infektionen ist so insignifikant, die kommt in der Übersicht mal vor.
#WannaCry infection distribution by the Windows version. Worst hit – Windows 7 x64. The Windows XP count is insignificant. pic.twitter.com/5GhORWPQij
— Costin Raiu (@craiu) May 19, 2017
Wir wissen nicht, ob das nun daran liegt, dass Windows XP dann doch nicht mehr so weit verbreitet ist, wie man denkt oder an der Sorgfalt bei der Absicherung solcher Systeme durch ihre Nutzer oder ob es einfach nur ein dummer Zufall ist. Zu hoffen ist ja, dass Windows XP einfach kurz vor dem endgültigen Aussterben in freier Wildbahn steht.
Update (01.06.2017): Zwischenzeitlich scheint die Ursache für die überraschend geringe WannaCry-Verbreitung auf XP-Systemen gefunden worden zu sein. Und man muss dann doch ein wenig grinsen, wenn man erfährt, dass Windows XP einfach zu instabil für WannaCry ist. Windows XP mit Service Pack 3 liefert bei der versuchten Infektion einen BSOD (Blue Screen of Death), das war es dann auch schon. WannaCry schafft es dank dieser Instabilität nicht, sich auf dem System einzunisten. Auch mit Service Pack 2 gelang den Forschern keine Infektion. Das gilt aber nur für einen Versuch über die SMB-Lücke, also das Netzwerk. Wird WannaCry direkt lokal ausgeführt, wenn er zum Beispiel als Mail-Anhang eingeschleust wird, dann klappt es auch mit der Infektion und dem Verschlüsseln der Daten. Aber zumindest an der Verbreitung über das Netzwerk trägt Windows XP keine Schuld.
Überraschung: Ransomware und IoT-Unsicherheit Hand in Hand
Neben Ransomware hat uns in den letzten Monaten vor allem das allgegenwärtige und nahezu ebenso löchrige „Internet of Things“ beschäftigt. Bei WannyCry kommt nun auch das IoT ins Spiel. Erinnert ihr euch an das Mirai-Botnetz, das letztes Jahr recht erfolgreich Sites angegriffen hatte? Eine modifizierte Version dieses Netzes wird nun offenbar verwendet, um die Domain zu attackieren, die die weitere Ausbreitung von WannaCry stoppt.
Um sich einer Analyse zu entziehen versucht WannaCry beim Start eine bestimmte Domain zu erreichen – in der Hoffnung, dass innerhalb einer Analyse-Sandbox für jede Domain eine korrekte Antwort geliefert wird. Nun wurde dieser Domainname im Schädling gefunden und registriert und da sie damit erreichbar war, „dachten“ nun alle WannaCry-Prozesse im Netz, sie würden in einer Sandbox laufen und haben alle Versuche eingestellt, sich weiter zu verbreiten.
Damit wurde die weitere Verbreitung gestoppt. Alle 24 Stunden fragt WannaCry nun aber erneut ab, ob die Domain erreichbar wäre, wenn diese nun also erfolgreich per dDOS-Attacke aus dem Netz „geschossen“ wird, dann wird WannaCry – dort wo er noch läuft – wieder anfangen nach weiteren angreifbaren Rechnern zu suchen.
Veränderung: Ransomware lohnt immer weniger
Die Empfehlungen Backups zu machen und im Falle einer Erpressung durch Ransomware auf keinen Fall zu bezahlen, scheinen inzwischen weitgehend bei den Nutzern angekommen zu sein. Konnten frühere Kryptotrojaner bei geringerer Verbreitung noch tausende von Opfern zur Zahlung des geforderten Lösegelds motivieren, konnte sich WannaCry zwar deutlich weiter verbreiten, aber trotz aller Appelle an die „ehrlichen Kunden“ waren „nur“ 400 bis 500 Opfer bereit, sich auf den angebotenen Deal einzulassen. Ein eher schwaches Ergebnis, zumindest aus Sicht der Erpresser.
Unbelehrbar: Sicherheitsbehörden fördern Unsicherheit
Spätestens jetzt kann zumindest kein vernünftiger Mensch mehr leugnen, dass das Sammeln und Verheimlichen von Sicherheitslücken durch „Sicherheitsbehörden“ für den „Eigenbedarf“ ein wachsendes Problem darstellt. Egal bei welcher Behörde solche Lücken gebunkert werden, früher oder später findet entweder ein anderer diese Lücken auch oder – schlimmer – sie werden bei den „Sicherheitsbehörden“ direkt entwendet, möglicherweise noch mit den dazu gehörenden Tools. Immer mehr Unternehmen äußern sich inzwischen sehr deutlich darüber, was sie von dieser Anhäufung von Sicherheitslücken halten (nicht viel, vorsichtig formuliert), aber ändern wird sich an diesem Vorgehen auf absehbare Zeit aber wohl trotzdem nichts.
Warum denn auch? Schließlich ist es Aufgabe der Geheimdienste, Informationen zu sammeln und das im Zweifel mit allen Mitteln, die zur Verfügung stehen. Wenn in den Systemen aber keine Hintertüren für die Dienste implementiert sind, dann bleibt nur das Angreifen von Sicherheitslücken in den Systemen.
Auf diese Frage wird es irgendwann hinauslaufen: „Wenn wir keine Sicherheitslücken mehr sammeln und horten sollen, dann brauchen wir aber Hintertüren in den Systemen, sonst können wir unsere Arbeit nicht mehr machen…“.
