Diese ganze WannaCry-Geschichte bringt doch immer wieder einen neuen Dreh. Der offenbar recht eilig und stümperhaft zusammengeschusterte Trojaner verschlüsselt zwar kräftig, kann aber mit ziemlicher Sicherheit nicht entschlüsseln, hat aber dafür so viel Wind gemacht, dass sich Microsoft sogar zu einem Patch für an sich veraltete Windows-Versionen genötigt sah. Immerhin waren Rechner in Krankenhäusern, Telekommunikationsunternehmen oder der Bahn betroffen – es ging also an das Thema Infrastruktur. Die Macher dieses Trojaners haben sich damit so ziemlich jede Sicherheitsbehörde der Welt zum Feind gemacht und dabei hat es sich finanziell nicht einmal gelohnt.
Und jetzt kommt raus, dass die „Helden“ es auch noch geschafft haben, mit ihrer Ransomware anderen Kriminellen so richtig das Geschäft zu versauen. Irgendwann zwischen dem 24. April und dem 2. Mai hatten andere nämlich bereits begonnen die SMB-Lücke auszunutzen, haben sich dabei aber deutlich ruhiger verhalten: Statt einer Ransomware wurde hier der Cryptominer Adylkuzz installiert, sicherheitshalber SMB blockiert und dann im Hintergrund fleissig Kryptogeld errechnet. Einzige Auswirkungen für die Betroffenen: Erhöhter CPU-Verbrauch und möglicherweise Probleme beim Zugriff auf Netzwerkressourcen via SMB. Beides nicht unbedingt ungewöhnlich, gerade bei alten Systemen und lässt einen Durchschnittsuser wohl nicht direkt eine Schadsoftware vermuten – man ist ja durchaus gewohnt, dass Windows mit der Zeit dazu neigt langsamer zu werden.
Kurz: Diese andere Gruppe hat sich bedeckt gehalten und wollte die Lücke nutzen, um still und heimlich im Hintergrund möglichst viel Kryptogeld zu erzeugen, dieses einkassieren und die betroffenen Rechner ansonsten in Ruhe lassen. Ohne die Aufmerksamkeit, die WannCry schließlich auf die Lücke gezogen hat, hätten die wahrscheinlich noch über Wochen und Monate klammheimlich Umsatz machen können.
Dabei war dieses Mining-Botnet nicht gerade klein: mehr als 20 Server waren damit beschäftigt auf verwundbare Rechner zu scannen und die zu infizieren, während mehr als ein Dutzend Controlserver dafür sorgten, dass die infizierten Clients auch die richtigen Berechnungen durchführen. Man kann durchaus davon ausgehen, dass dieses Botnet nicht weniger Rechner infiziert hatte, als WannaCry. Und über 2-3 Wochen unbemerkt ein Botnet in dieser Größe zu betreiben ist durchaus eine Leistung.
Und dann kam WannaCry und hat dieses schöne Geschäft durch die ganze Aufmerksamkeit einfach so kaputt gemacht… An Stelle der WannaCry-Urheber würde ich mir jetzt wohl ein sehr tiefes Loch irgendwo ganz weit weg suchen und da auf absehbare Zeit nicht mehr raus kommen wollen.
Beitragsbild: bykst via Pixabay, Lizenz: CC0