Wir unterstützen Browser, keine Dinosaurier. Aktualisieren Sie Ihren Browser, wenn Sie den Inhalt dieser Webseite korrekt anzeigen möchten.

Sie sind nicht sicher, welche Lösung für Ihr Unternehmen am besten geeignet ist?
Auswahlhilfe
Skip to main content
  1. Für Unternehmen
  2. Ressourcen
  3. Was ist WannaCry

Was ist die Ransomware WannaCry?

Die WannaCry-Ransomware kann Ihre Dateien, Ordner und Anwendungen verschlüsseln und macht sie unzugänglich, bis ein „Lösegeld“ gezahlt wird. Angesichts der zunehmenden Zahl von Ransomware-Angriffen auf Unternehmen sollten Sie wissen, wer WannaCry entwickelt hat, wie es Netzwerke infiziert und wie Sie Ihre Systeme vor solchen Angriffen schützen können.

Was ist der Ransomware-Angriff WannaCry?

WannaCry ist eine Art Ransomware – eine Malware, die Dateien, entweder einzeln oder ganze Computersysteme, verschlüsselt und dann eine Lösegeldzahlung als Gegenleistung für die Entschlüsselung verlangt. WannaCry infiziert Geräte durch Ausnutzung einer Sicherheitslücke in der Windows-Software und hat weitreichende finanzielle Einbußen und Rufschädigungen verursacht.

WannaCry wurde auf der Grundlage einer Sicherheitslücke mit dem Namen EternalBlue entwickelt, die der Nationalen Sicherheitsagentur der USA (NSA) von der Cyberhacking-Gruppe „The Shadow Brokers“ gestohlen wurde. Die Gruppe nutzte die Sicherheitslücke, um nicht gepatchte oder veraltete Windows-Betriebssysteme anzugreifen. Obwohl Microsoft Patches zur Verbesserung seiner Software veröffentlicht hatte, hatten viele Unternehmen diese Updates nicht installiert, sodass Hacker diese Schwachstellen ausnutzen und einen Angriff durchführen konnten.

Am 12. Mai 2017 wurde mit der WannaCry-Ransomware einer der bisher bedeutendsten Angriffe durchgeführt. In nur einem Tag wurden mehr als 230.000 Windows-PCs in über 150 Ländern infiziert, und es waren Unternehmen, Behörden und medizinische Einrichtungen betroffen. Zu den betroffenen Unternehmen gehören Telefonica, Deutsche Bahn, LATAM Airlines Group, FedEx sowie die Automobilhersteller Hitachi, Renault und Honda.

Der britische National Health Service (NHS) war ebenfalls einer von vielen Gesundheitsdiensten, die aufgrund von ungepatchter Windows-Software betroffen waren. Als Resultat wurden mehrere Systeme verschlüsselt und unzugänglich gemacht. Der Angriff verursachte weltweit Schäden in Milliardenhöhe und gilt als einer der bislang bedeutendsten Ransomware-Angriffe.

Die WannaCry-Ransomware wurde schließlich vom Cybersicherheitsexperten Marcus Hutchins gestoppt. Noch im selben Monat entwickelte er einen Domänennamen, der als Kill-Switch fungierte, um die Malware in ihrem Lauf zu stoppen und verhinderte jegliche Versuche, diese Domäne zu entfernen.

Viele Unternehmen sind sich inzwischen der Bedeutung von Patches bewusst, aber es gibt viele Methoden, mit denen böswillige Akteure auf Unternehmenssysteme zugreifen können. Ransomware bleibt aus verschiedenen Gründen weiter gefährlich:

  • Sie kann zu erheblichen finanziellen Verlusten und Rufschädigung führen
  • Die durchschnittliche Ausfallszeit, die Unternehmen nach einem Ransomware-Angriff erleben, ist 21 Tage
  • Dies kann zu Problemen bei der Einhaltung von Richtlinien führen und weitere Konsequenzen für Ihr Unternehmen nach sich ziehen.

Wer hat WannaCry entwickelt?

Obwohl die Shadow Brokers den EternalBlue-Exploit, der bei der NSA beheimatet ist, gestohlen haben, wurde der Code von anderen Hackergruppen weiterentwickelt und als Waffe eingesetzt. Sowohl die britische als auch die US-amerikanische Regierung haben inzwischen bekannt gegeben, dass sie die nordkoreanische Hackerabteilung, die „Lazarus Group“, hinter WannaCry vermuten.

Im Februar 2021 bestätigte das US-Justizministerium, dass drei nordkoreanische Computerprogrammierer angeklagt wurden, die WannaCry-Ransomware entwickelt und verbreitet, Geld von den Opfern erpresst und sensible Daten gestohlen zu haben.

Wie infiziert WannaCry Netzwerke?

Die WannaCry-Ransomware sucht nach Schwachstellen in Windows-Betriebssystemen und nutzt dabei den EternalBlue-Exploit-Code. Dabei wird auf das SMB-Protokoll (Server Message Block) zugegriffen, das es den Benutzern ermöglicht, auf freigegebene Dateien und Dienste zuzugreifen, Dateien zu verschlüsseln und dann eine Lösegeldzahlung zu verlangen. Sie ähnelt der Ransomware Phobos, einer älteren Art von Ransomware, die nach ungeschützten Ports des Remote Desktop Protocol (RDP) sucht.

Im Falle eines WannaCry-Angriffs sendet der Exploit einen SMB-Echo-Anforderungscode an ein bestimmtes Server Message Block (SMB)-Protokoll, das von Microsoft Windows-Geräten verwendet wird. Erfolgt keine Antwort auf die Anfrage, wird eine Hintertür (ein Weg in das System, der die Sicherheitsmaßnahmen zur Authentifizierung und Autorisierung umgeht) eingerichtet.

Mit dem Backdoor-Malware-Tool DoublePulsar zur Ausführung von WannaCry-Ransomware können Hacker eine Verbindung aufbauen, die es ermöglicht, Informationen abzugreifen oder Malware wie WannaCry-Ransomware in das System zu schleusen.

Das Tool ermöglicht es Hackern, eine Verbindung zwischen den Protokollen SMB (TCP-Port 445) oder RDP (TCP-Port 3389) aufzubauen und einen Asynchronous Procedure Call (APC) einzusetzen. Dieser Schritt ermöglicht es dem Tool, eine DLL für den Local Security Authority Subsystem Service (Lsass.exe) freizugeben, der für die Sicherheitsrichtlinien des Windows-Betriebssystems, wie z. B. Passwortänderungen und Authentifizierungsdienste, sowie für die Replikation von Programmen zuständig ist. Sobald dies abgeschlossen ist, kann Shellcode in diese Systeme eingespeist werden, was auch als Heap-Spraying bekannt ist, und der vorhandene Backdoor-Code kann entfernt werden.

Sobald die WannaCry-Ransomware in ein Gerät eingedrungen ist, nutzt sie ihre wurmähnlichen Fähigkeiten, um das Netzwerk auch nach anderen Geräten zu durchsuchen, die ähnliche ungepatchte oder veraltete Software oder Schwachstellen aufweisen, und repliziert ihren Schadcode auf diese Geräte.

Im Gegensatz zu vielen anderen Arten von Ransomware-Angriffen macht die WannaCry-Ransomware ihr Auftreten sehr deutlich, indem sie eine ähnliche Nachricht wie die unten gezeigte anzeigt und eine Lösegeldzahlung fordert.

Sobald Ihre Geräte infiziert sind, besteht die einzige Möglichkeit, auf Ihre Dateien zuzugreifen, in der Verwendung einer externen Sicherungskopie Ihrer Dateien und Ordner, sofern diese verfügbar ist, oder in der Zahlung des Lösegelds. Letzteres ist aber nicht zu empfehlen, da der Rückerhalt des Zugriffes auf Ihre Betriebssysteme nicht garantiert ist.

Windows-Patches

Nach den WannaCry-Ransomware-Angriffen im Jahr 2017 entwickelte Microsoft Notfall-Sicherheitspatches für alle Windows-Systeme, einschließlich Windows XP, Windows Vista, Windows 8 und frühere Windows Server-Versionen. In einer Ankündigung hieß es, dass Kunden, die automatische Updates aktiviert haben, geschützt sind – Kunden mit manuellen Update-Einstellungen wurden „angehalten, das Update so schnell wie möglich zu installieren."

Mit den sich immer weiterentwickelnden Ransomware-Angriffen, welche immer häufiger und raffinierter werden, sind die durchschnittlichen Lösegeldzahlungen laut dem National Security Institute von 5.000 US-Dollar im Jahr 2018 auf rund 200.000 US-Dollar im Jahr 2020 gestiegen. Im Jahr 2021 zahlte eine Versicherungsgesellschaft 40 Millionen US-Dollar aus und stellte damit einen neuen Weltrekord für die größte Ransomware-Zahlung auf.

Malware ist nach wie vor ein lukratives Geschäft für Cyberkriminelle, und nur sehr wenige Ransomware-Stämme verfügen über öffentlich verfügbare Entschlüsselungsschlüssel. Das bedeutet, dass die Beseitigung von Ransomware von Ihrem PC und den zugehörigen Geräten sehr komplex ist und dass es möglicherweise nicht möglich ist, Ihre Dateien wiederherzustellen (selbst wenn Ihr Unternehmen das Lösegeld bezahlt). Es ist daher unerlässlich, wichtige Maßnahmen zur Verhinderung eines Ransomware-Angriffs zu ergreifen, einschließlich Software-Patches, um sicherzustellen, dass Ihr Unternehmen vor künftigen Cyberangriffen geschützt bleibt.

Ist WannaCry noch aktiv?

Der WannaCry-Angriff vom Mai 2017 konnte durch einen Kill Switch gestoppt werden, und Microsoft hat einen Patch veröffentlicht, um anfällige Betriebssysteme vor dem EternalBlue-Exploit zu schützen, aber die Ransomware bleibt eine aktive Bedrohung.

WannaCry wird weiterhin von Hackergruppen aktualisiert und bleibt eine erhebliche Bedrohung für Unternehmen. Raffinierte Ransomware-Stämme wie Petya und NotPetya wurden von WannaCry inspiriert und verfügen über ähnliche Fähigkeiten, indem sie in Windows-Anwendungen nach der gleichen Sicherheitslücke suchen. Der Prozentsatz der Unternehmen, die weltweit Opfer von Ransomware-Angriffen wurden, ist ebenfalls gestiegen, von 55,1 % im Jahr 2018 auf 68,5 % im Jahr 2021.

Angesichts der zahlreichen Bedrohungen in der Cybersicherheitslandschaft, ist die Installation von Tools zum Schutz vor Ransomware daher unerlässlich.

So vermeiden Sie Ransomware-Angriffe

Aktive Maßnahmen zur Verhinderung eines Ransomware-Angriffs auf Ihr Unternehmen sind entscheidend für die Sicherheit Ihrer digitalen Ressourcen:

  • Durchführung regelmäßiger Netzwerkinspektionen: Zu den routinemäßigen Inspektionen Ihrer Geschäftsaktivitäten sollten Schwachstellenbewertungen gehören, die Ihr Netzwerk, die angeschlossenen Geräte und die Anwendungen auf Schwachstellen in Ihrer Software überprüfen, die zu einem Angriff oder einem Datenleck führen könnten.
  • Cybersicherheitstraining: Zu den Sicherheitsstrategien sollten Schulungen zur Cybersicherheit gehören. Damit soll das Bewusstsein der Mitarbeiter für häufige Angriffsmöglichkeiten geschärft werden, z. B. wenn sie eine E-Mail von einer unbekannten Quelle erhalten und Opfer von Phishing werden oder auf einen Anhang klicken, der ein Trojaner als Malware enthalten könnte.
  • Passwortrichtlinien: Die Einführung einer Passwortrichtlinie sollte die Mitarbeiter dazu ermutigen, zuverlässige Passwörter zu verwenden, die Ihr Unternehmen vor externen Bedrohungen schützen, sowie die Verwendung einer rollenbasierten Zugriffskontrolle zum Schutz von Daten und sensiblen Dateien.
  • Ihr Betriebssystem und Ihre Anwendungen auf dem neuesten Stand halten: Die Vermeidung von Bedrohungen, die sich auf Ihr Unternehmen auswirken können, und die Sicherung wichtiger Dateien und Anwendungen sind von entscheidender Bedeutung. Dazu gehört auch, dass Sie Ihre Systeme regelmäßig aktualisieren und Tools einsetzen, die automatisch alle Software-Schwachstellen beheben.

Schutz vor einem WannaCry-Ransomware-Angriff

Bis heute hat Avast bereits mehr als 170 Millionen WannaCry-Ransomware-Angriffe blockiert. Entdecken Sie, wie unsere Lösungen für kleine Unternehmen Ihr Unternehmen mit einfachen, aber leistungsstarken Schutztools ausstatten können, die Ihre Geräte und Daten vor Malware, Phishing, Ransomware und anderen fortschrittlichen Cyberangriffen schützen.

Mehr erfahren
Schließen

Fast geschafft!

Schließen Sie die Installation ab, indem Sie auf die heruntergeladene Datei unten klicken und den Anweisungen folgen.

Download wird vorbereitet...
Hinweis: Falls Ihr Download nicht automatisch startet, klicken Sie bitte hier.
Klicken Sie auf diese Datei, um die Installation von Avast zu starten.
Deutschland
Für Privatanwender
Für Unternehmen
Für Partner
Unternehmen
Verträge hier kündigen
© 2024 Gen Digital Inc. Alle Rechte vorbehalten.
Datenschutzrichtlinie Produktrichtlinie Rechtliche Hinweise Schwachstelle melden Sicherheitsabteilung kontaktieren Erklärung zur modernen Sklaverei Impressum Abonnementdetails