WannaCry: Vodafone verschickt „Wichtige Sicherheitsinfo“

Vodafone hat letzte Woche einen Brief mit dem Titel „Wichtige Sicherheitsinfo für Sie“ an bestimmte Kunden verschickt. Der PC des Adressaten sei „wahrscheinlich“ von Unbekannten für die Installation einer Schadsoftware genutzt worden, stand in dem Brief. In Zeiten von WannaCry dürfte der Inhalt von den betroffenen Anwendern als höchst besorgniserregend eingestuft worden sein.

Vodafone: „Wichtige Sicherheitsinfo“

Hier der Wortlaut des Schreibens:

„Lieber Herr xy,
auf Ihrem PC haben Unbekannte wahrscheinlich eine Schadsoftware installiert.
Wir bekommen z.B. vom Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig Infos darüber, wenn Anschlüsse von unseren Kunden mit schädlicher Software infiziert sind. Nach diesen Infos ist auch an Ihrem Internet-Anschluss mindestens ein Gerät betroffen.
Was können Sie jetzt tun?
Sie haben zu Ihrem Internet und Telefonvertrag auch unser Sicherheitspaket bekommen. Deshalb haben Sie schon eine leistungsfähige Software zum Schutz Ihres PCs. Damit können Sie sich gegen schädliche Software schützen. Wir empfehlen:
…“

Es folgen noch einige Hinweise, wie man das kostenpflichtige Sicherheitspaket (ab dem 4. Monat 3,98 Euro) aktiviert und ausführt.

Eingabe der Kill-Switch-Domain als Grund

Wie ein User im inoffiziellen Kundenforum von Vodafone Kabel berichtet, hat ihm der Vodafone-Service mitgeteilt, „dass die Sache etwas mit den Begriffen: TCP, Wanna Crypt, Botnet Initiative, Shadow Server, Kabeldeutschland zu tun hat. Und dass die Infektion exakt am 13.5.2017 um 15:59 und einige Sekunden stattgefunden hatte.“

An diesem Tag hat der Anwender die Berichte zur Ransomware-Attacke WannaCry verfolgt und dabei die Kill-Switch-Domain der Schadsoftware in seinen Browser eingegeben. Diese wurde von einem Sicherheitsforscher zuvor registriert, wodurch die Verbreitung der Ransomware gestoppt wurde.

ZDNet hat Kenntnis über einen weiteren Fall, bei dem der betroffene Anwender ebenfalls die Adresse der Kill-Switch-Domain eingegeben hat. Auch er erhielt etwa eine Woche später Post von Vodafone mit besagter „Wichtigen Sicherheitsinfo“. Inzwischen haben sich im inoffiziellen Anwender-Forum weitere Betroffene gemeldet, die ebenfalls Post mit dem gleichen Inhalt erhalten haben. Auch sie hatten die Adresse der Kill-Switch-Domain eingegeben.

Sämtliche betroffenen Anwender bemängeln, dass Vodafone die Gründe für die „wichtigen Sicherheitsinfos“ nicht besser erläutert hat. Dann wäre den Betroffenen schneller klar gewesen, was die Ursache für das Schreiben gewesen ist.

Die Ransomware WannaCrypt, auch bekannt als WannaCry oder WanaCrypt0r, hat weltweit mehrere 100.000 Windows-PCs befallen. Die Attacke startete am 12. Mai und hat vor allem die britische Gesundheitsbehörde in Mitleidenschaft gezogen. Ist die Schadsoftware auf einem Rechner aktiv, sucht sie im Netzwerk nach weiteren PCs und infiziert diese. Die Cyber-Attacke nutzt eine Windows-Schwachstelle im SMB-Protokoll aus, die Microsoft allerdings Mitte März geschlossen hatte.

WannaCry hat nach aktueller Zählung mehr als 180.000 PCs befallen (Screenshot: ZDNet.de)

Laut Kaspersky sind von der Attacke vor allem Windows-7-PCs betroffen. Das geht aus Telemetriedaten der Sicherheitsprodukte von Kaspersky Lab hervor. 60,35 Prozent der WannaCry-Infektionen fand das Unternehmen auf Rechner mit Windows 7 64-Bit, 31,72 Prozent auf Windows 7 32-Bit, 3,67 Prozent auf Windows 7 Home 64-Bit und 2,61 Prozent auf Windows 7 Home 32-Bit. Damit kommt das OS auf einen Gesamtanteil von 98,35 Prozent.

Zwar lassen sich auch PCs mit Windows XP mit der Software infizieren, wenn sie direkt auf dem Rechner ausgeführt wird. Allerdings führt ein Fehler in der Schadsoftware dazu, dass sich XP-PCs WannaCry nicht über die Schwachstelle im SMB-Protokoll einfangen können.

HIGHLIGHT

WannaCry: Armutszeugnis für betroffene Unternehmen und Organisationen

WannaCry konnte sich vor allem deshalb so schnell verbreiten, weil IT-Verantwortliche in den betroffenen Unternehmen und Organisationen verfügbare Sicherheitspatches nicht installiert haben. Das offenbart ein bedenkliches Maß an fehlendem Sicherheitsbewusstsein.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

SEO-Beratung von Spezialisten wie WOXOW: Deshalb wird sie immer wichtiger

Wer bei Google mit den passenden Suchbegriffen nicht in den Top-Rankings gefunden wird, der kann…

6 Stunden ago

Umfrage: Weniger als die Hälfte der digitalen Initiativen sind erfolgreich

Unternehmen räumen der Entwicklung technischer und digitaler Führungskompetenzen ein zu geringe Priorität ein. Gartner fordert…

7 Stunden ago

Google schließt zwei Zero-Day-Lücken in Android

Betroffen sind Android 12, 13, 14 und 15. Google sind zielgerichtete Angriffe auf die beiden…

1 Tag ago

Gefährliche Weiterentwicklung der APT36-Malware ElizaRAT

Schadprogramm der pakistanischen Hackergruppe APT36 weitet seine Aktivitäten aus und verbessert seine Techniken.

1 Tag ago

Google schließt weitere schwerwiegende Sicherheitslücken in Chrome 130

Tenable vergibt für beide Schwachstellen einen CVSS-Basis-Score von 9,8. Zwei Use-after-free-Bugs erlauben möglicherweise das Einschleusen…

1 Tag ago

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

2 Tagen ago