WannaCry: Vodafone verschickt „Wichtige Sicherheitsinfo“

Vodafone hat letzte Woche einen Brief mit dem Titel „Wichtige Sicherheitsinfo für Sie“ an bestimmte Kunden verschickt. Der PC des Adressaten sei „wahrscheinlich“ von Unbekannten für die Installation einer Schadsoftware genutzt worden, stand in dem Brief. In Zeiten von WannaCry dürfte der Inhalt von den betroffenen Anwendern als höchst besorgniserregend eingestuft worden sein.

Vodafone: „Wichtige Sicherheitsinfo“

Hier der Wortlaut des Schreibens:

„Lieber Herr xy,
auf Ihrem PC haben Unbekannte wahrscheinlich eine Schadsoftware installiert.
Wir bekommen z.B. vom Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig Infos darüber, wenn Anschlüsse von unseren Kunden mit schädlicher Software infiziert sind. Nach diesen Infos ist auch an Ihrem Internet-Anschluss mindestens ein Gerät betroffen.
Was können Sie jetzt tun?
Sie haben zu Ihrem Internet und Telefonvertrag auch unser Sicherheitspaket bekommen. Deshalb haben Sie schon eine leistungsfähige Software zum Schutz Ihres PCs. Damit können Sie sich gegen schädliche Software schützen. Wir empfehlen:
…“

Es folgen noch einige Hinweise, wie man das kostenpflichtige Sicherheitspaket (ab dem 4. Monat 3,98 Euro) aktiviert und ausführt.

Eingabe der Kill-Switch-Domain als Grund

Wie ein User im inoffiziellen Kundenforum von Vodafone Kabel berichtet, hat ihm der Vodafone-Service mitgeteilt, „dass die Sache etwas mit den Begriffen: TCP, Wanna Crypt, Botnet Initiative, Shadow Server, Kabeldeutschland zu tun hat. Und dass die Infektion exakt am 13.5.2017 um 15:59 und einige Sekunden stattgefunden hatte.“

An diesem Tag hat der Anwender die Berichte zur Ransomware-Attacke WannaCry verfolgt und dabei die Kill-Switch-Domain der Schadsoftware in seinen Browser eingegeben. Diese wurde von einem Sicherheitsforscher zuvor registriert, wodurch die Verbreitung der Ransomware gestoppt wurde.

ZDNet hat Kenntnis über einen weiteren Fall, bei dem der betroffene Anwender ebenfalls die Adresse der Kill-Switch-Domain eingegeben hat. Auch er erhielt etwa eine Woche später Post von Vodafone mit besagter „Wichtigen Sicherheitsinfo“. Inzwischen haben sich im inoffiziellen Anwender-Forum weitere Betroffene gemeldet, die ebenfalls Post mit dem gleichen Inhalt erhalten haben. Auch sie hatten die Adresse der Kill-Switch-Domain eingegeben.

Sämtliche betroffenen Anwender bemängeln, dass Vodafone die Gründe für die „wichtigen Sicherheitsinfos“ nicht besser erläutert hat. Dann wäre den Betroffenen schneller klar gewesen, was die Ursache für das Schreiben gewesen ist.

Die Ransomware WannaCrypt, auch bekannt als WannaCry oder WanaCrypt0r, hat weltweit mehrere 100.000 Windows-PCs befallen. Die Attacke startete am 12. Mai und hat vor allem die britische Gesundheitsbehörde in Mitleidenschaft gezogen. Ist die Schadsoftware auf einem Rechner aktiv, sucht sie im Netzwerk nach weiteren PCs und infiziert diese. Die Cyber-Attacke nutzt eine Windows-Schwachstelle im SMB-Protokoll aus, die Microsoft allerdings Mitte März geschlossen hatte.

WannaCry hat nach aktueller Zählung mehr als 180.000 PCs befallen (Screenshot: ZDNet.de)

Laut Kaspersky sind von der Attacke vor allem Windows-7-PCs betroffen. Das geht aus Telemetriedaten der Sicherheitsprodukte von Kaspersky Lab hervor. 60,35 Prozent der WannaCry-Infektionen fand das Unternehmen auf Rechner mit Windows 7 64-Bit, 31,72 Prozent auf Windows 7 32-Bit, 3,67 Prozent auf Windows 7 Home 64-Bit und 2,61 Prozent auf Windows 7 Home 32-Bit. Damit kommt das OS auf einen Gesamtanteil von 98,35 Prozent.

Zwar lassen sich auch PCs mit Windows XP mit der Software infizieren, wenn sie direkt auf dem Rechner ausgeführt wird. Allerdings führt ein Fehler in der Schadsoftware dazu, dass sich XP-PCs WannaCry nicht über die Schwachstelle im SMB-Protokoll einfangen können.

HIGHLIGHT

WannaCry: Armutszeugnis für betroffene Unternehmen und Organisationen

WannaCry konnte sich vor allem deshalb so schnell verbreiten, weil IT-Verantwortliche in den betroffenen Unternehmen und Organisationen verfügbare Sicherheitspatches nicht installiert haben. Das offenbart ein bedenkliches Maß an fehlendem Sicherheitsbewusstsein.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago