Ransomware-Attacke: WannaCrypt befällt mehr als 100.000 Windows-PCs

Die Ransomware WannaCrypt, auch bekannt als WannaCry oder WanaCrypt0r, hat weltweit mehr als 100.000 Windows-PCs befallen. Ist die Schadsoftware auf einem Rechner aktiv, sucht sie im Netzwerk nach weiteren PCs und infiziert diese. Die Cyber-Attacke nutzt eine Windows-Schwachstelle im SMB-Protokoll aus, die Microsoft allerdings Mitte März geschlossen hatte.

Vermutlich handelt es sich bei den betroffenen Systemen meistens um Windows-XP-Rechner, dessen Support von Microsoft 2014 eingestellt wurde und die damit in der Regel keine Sicherheitsupdates mehr erhalten. Weltweit kommen PCs mit Windows XP allerdings noch immer auf einen Marktanteil von sieben Prozent. Inzwischen hat Microsoft auch für Windows XP, Windows Server 2003 und Windows 8 ein Sicherheitsupdate veröffentlicht, um die Ausbreitung von WannaCrypt zu vermindern. Das Update mit der Bezeichnung KB4012598 kann über den Microsoft-Update-Katalog heruntergeladen werden. Weitere Informationen zu der Attacke hat Microsoft in seinem Security-Blog veröffentlicht.

Laut Microsoft sind aktuelle Windows-Betriebssysteme nicht von der Schwachstelle betroffen. Außerdem erkennt die in Windows integrierte Virenschutzlösung Defender den Schädling. WannaCrypt gelangt nach derzeitigen Erkenntnissen in der Regel nicht über eine Phishing-Attacke auf die Rechner der Opfer, sondern über die die Schwachstelle CVE-2017-0144. Diese wurde von dem US-Geheimdienst National Security Agency (NSA) entdeckt und jahrelang verschwiegen. Mitte April gelangten zahlreiche NSA-Hackingtools in die Hände von Cyberkriminellen, die diese im Darknet zum Verkauf anboten.

Nach Angaben der Sicherheitsfirma Malwarebytes ist die wurmartige Verbreitung von WannaCrypt inzwischen gestoppt worden. Eine von der Schadsoftware genutzte unregistrierte Domain wurde von einem englischen Sicherheitsforscher, der unter dem Twitter-Handle @MalwareTechBlog bekannt ist, unter Mithilfe des Proofpoint-Mitarbeiters Darien Huss übernommen. Die Domainregistrierung erfolgte um 6 Uhr morgens kalifornischer Zeit, sodass die Infektion in den USA deutlich geringer ausfiel als in Europa und Asien.

Während in Großbritannien vor allem Rechner der britischen Gesundheitsbehörde National Health Service (NHS) infiziert wurden, ist hierzulande offenbar die Deutsche Bahn von der Attacke betroffen. Auf zahlreichen Informationsbildschirmen war ein Bild der Hacker-Software zu sehen. Der Zugverkehr sei aber nicht gestört, teilte die Deutsche Bahn mit. In Spanien ist der Telekom-Konzern Telefónica und in den USA der Versanddienst FedEx von der Ransomware-Attacke betroffen.