WannaCry: Vodafone verschickt „Wichtige Sicherheitsinfo“

Vodafone hat letzte Woche einen Brief mit dem Titel „Wichtige Sicherheitsinfo für Sie“ an bestimmte Kunden verschickt. Der PC des Adressaten sei „wahrscheinlich“ von Unbekannten für die Installation einer Schadsoftware genutzt worden, stand in dem Brief. In Zeiten von WannaCry dürfte der Inhalt von den betroffenen Anwendern als höchst besorgniserregend eingestuft worden sein.

Vodafone: „Wichtige Sicherheitsinfo“

Hier der Wortlaut des Schreibens:

„Lieber Herr xy,
auf Ihrem PC haben Unbekannte wahrscheinlich eine Schadsoftware installiert.
Wir bekommen z.B. vom Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig Infos darüber, wenn Anschlüsse von unseren Kunden mit schädlicher Software infiziert sind. Nach diesen Infos ist auch an Ihrem Internet-Anschluss mindestens ein Gerät betroffen.
Was können Sie jetzt tun?
Sie haben zu Ihrem Internet und Telefonvertrag auch unser Sicherheitspaket bekommen. Deshalb haben Sie schon eine leistungsfähige Software zum Schutz Ihres PCs. Damit können Sie sich gegen schädliche Software schützen. Wir empfehlen:
…“

Es folgen noch einige Hinweise, wie man das kostenpflichtige Sicherheitspaket (ab dem 4. Monat 3,98 Euro) aktiviert und ausführt.

Eingabe der Kill-Switch-Domain als Grund

Wie ein User im inoffiziellen Kundenforum von Vodafone Kabel berichtet, hat ihm der Vodafone-Service mitgeteilt, „dass die Sache etwas mit den Begriffen: TCP, Wanna Crypt, Botnet Initiative, Shadow Server, Kabeldeutschland zu tun hat. Und dass die Infektion exakt am 13.5.2017 um 15:59 und einige Sekunden stattgefunden hatte.“

An diesem Tag hat der Anwender die Berichte zur Ransomware-Attacke WannaCry verfolgt und dabei die Kill-Switch-Domain der Schadsoftware in seinen Browser eingegeben. Diese wurde von einem Sicherheitsforscher zuvor registriert, wodurch die Verbreitung der Ransomware gestoppt wurde.

ZDNet hat Kenntnis über einen weiteren Fall, bei dem der betroffene Anwender ebenfalls die Adresse der Kill-Switch-Domain eingegeben hat. Auch er erhielt etwa eine Woche später Post von Vodafone mit besagter „Wichtigen Sicherheitsinfo“. Inzwischen haben sich im inoffiziellen Anwender-Forum weitere Betroffene gemeldet, die ebenfalls Post mit dem gleichen Inhalt erhalten haben. Auch sie hatten die Adresse der Kill-Switch-Domain eingegeben.

Sämtliche betroffenen Anwender bemängeln, dass Vodafone die Gründe für die „wichtigen Sicherheitsinfos“ nicht besser erläutert hat. Dann wäre den Betroffenen schneller klar gewesen, was die Ursache für das Schreiben gewesen ist.

Die Ransomware WannaCrypt, auch bekannt als WannaCry oder WanaCrypt0r, hat weltweit mehrere 100.000 Windows-PCs befallen. Die Attacke startete am 12. Mai und hat vor allem die britische Gesundheitsbehörde in Mitleidenschaft gezogen. Ist die Schadsoftware auf einem Rechner aktiv, sucht sie im Netzwerk nach weiteren PCs und infiziert diese. Die Cyber-Attacke nutzt eine Windows-Schwachstelle im SMB-Protokoll aus, die Microsoft allerdings Mitte März geschlossen hatte.

WannaCry hat nach aktueller Zählung mehr als 180.000 PCs befallen (Screenshot: ZDNet.de)

Laut Kaspersky sind von der Attacke vor allem Windows-7-PCs betroffen. Das geht aus Telemetriedaten der Sicherheitsprodukte von Kaspersky Lab hervor. 60,35 Prozent der WannaCry-Infektionen fand das Unternehmen auf Rechner mit Windows 7 64-Bit, 31,72 Prozent auf Windows 7 32-Bit, 3,67 Prozent auf Windows 7 Home 64-Bit und 2,61 Prozent auf Windows 7 Home 32-Bit. Damit kommt das OS auf einen Gesamtanteil von 98,35 Prozent.

Zwar lassen sich auch PCs mit Windows XP mit der Software infizieren, wenn sie direkt auf dem Rechner ausgeführt wird. Allerdings führt ein Fehler in der Schadsoftware dazu, dass sich XP-PCs WannaCry nicht über die Schwachstelle im SMB-Protokoll einfangen können.