Verschlüsselung & Datensicherheit

WannaCry: Gefahr noch immer nicht gebannt

Es waren die Sicherheitsforscher von Sophos, die die Aktivitäten von WannaCry analysiert haben. Nachdem die gefährliche Ransomware bereits seit dem Jahr 2017 weltweit aktiv war, konnten die Sophos-Forscher erneut feststellen, dass WannaCry nach wie vor existent ist.

Malware-Mutationen unterwegs

Laut den Security-Forschern sind nach wie vor Mutationen der Malware mit Millionen von versuchten Neuinfizierungen jeden Monat zu verzeichnen. Der 2017-Originalstamm der Schadsoftware wurde nur noch 40 Mal erkannt. Aber man habe zahlreiche kurzlebige Mutationen gefunden. Bereits bis Ende 2018 hätten die Sophos-Forscher 12'480 Varianten des ursprünglichen Codes identifiziert und allein im August 2019 habe man 6963 Varianten beobachtet, wie inside-it, unter Berufung auf den Sophos Bericht, informierte.

Die Rolle des „Kill Switch“

Wie es dazu heißt, sei das Fortbestehen der WannaCry-Bedrohung  im Wesentlichen auf die Fähigkeit der neuen Varianten zurückzuführen, den „Kill Switch“ zu umgehen. Dabei handelt es sich um eine spezifische URL, die, wenn die Malware eine Verbindung herstellt, den Infektionsprozess automatisch beendet.

WannaCry besteht aus mehreren Teilen: einem, der die Malware auf andere Computer verbreitet, sowie der Payload, einer Zip-Datei, die sich selbst extrahiert und alles in Reichweite verschlüsselt. Aber in den neueren Varianten, die Sophos fand, war das Zip-File beschädigt. „Alles machte plötzlich Sinn“, so die Autoren des Berichts. Die große Menge von Identifizierungen könne auf das Fehlen eines Kill-Switches zurückgeführt werden.

„Aber niemand beschwerte sich über verschlüsselte Dateien, da fast jedes Sample, das in der Wildnis gefunden wurde, ein beschädigtes Zip-File hatte, das nichts verschlüsselte.“

 Dies bedeute aber nicht, dass die Gefahr komplett gebannt sei!

Impfstoff für PC’s

Laut Sophos fungieren die mutierten WannaCry-Varianten als Impfstoff für PC’s.  Sie prüfen ab, ob ein Gerät bereits infiziert ist. Ist die Infektion bereits erfolgt wandert die Malware zum nächsten System. Das bedeutet, dass eine bereits bestehende Infektion durch eine inaktive Version der Schadsoftware somit vor der Neu-Infektion mit einem aktiven Stamm schützt.

Wo bleibt der Patch?

Dazu betont Sophos, daß die Tatsache, dass PCs überhaupt noch infiziert werden können, den Rückschluss zu lasse, dass der Patch für den EternalBlue-Exploit noch immer nicht eingespielt wurde. Ein Patch, der vor mehr als zwei Jahren von Microsoft publiziert wurde.

"Und wenn bereits das Sicherheitsupdate, das vor mehr als zwei Jahren schon notwendig war, noch nicht umgesetzt ist, ist anzunehmen, das nachfolgende Patches auch nicht installiert wurden",

 so Michael Veit, Security Experte bei Sophos.

Zurück

Diesen Beitrag teilen
oben