Wannacry - Erpresser-Software verdirbt anderen Kriminellen das Geschäft

WannaCry hat das Geschäft anderer Krimineller verdorben, die schon länger die gleichen Sicherheitslücken ausnutzten.

Die Erpressser-Schadsoftware Wannacry war laut Sicherheitsforschern gar nicht der erste Versuch, die aus den NSA-Leaks bekannten Sicherheitslücken auszunutzen. Ein Exploit mit der Bezeichnung EternalBlue und eine Backdoor, die auf DoublePulsar getauft wurde, wurden von anderen Angreifern wohl schon deutlich früher verwendet, um Schadsoftware auf Rechnern zu installieren. Diese erfolgreichen Angriffe, die vermutlich schon seit dem 24. April 2017 liefen, wurden nun erst wegen der Aufregung rund um Wannacry bemerkt.

Heimliches Crypto-Mining

Das liegt auch daran, dass die EternalBlue-Schadsoftware nicht dazu verwendet wurde, Daten zu verschlüsseln und Nutzer zu erpressen. Stattdessen wurde heimlich und unbemerkt die Mining-Software Adylkuzz installiert, um den Rechner in ein Botnetz zu integrieren, das Crypto-Währungen durch Berechnungen erzeugt Laut dem Bericht von Proofpoint wurde ein ungeschützter Rechner schon nach 20 Minuten Verbindung mit dem Internet infiziert.

»Der Angriff wurde von mehreren virtuellen privaten Servern gestartet, die das Internet massiv auf dem TCP-Port 445 nach potentiellen Zielen scannen«. Findet EternalBlue einen solchen Rechner, wird zunächst DoublePulsar installiert und darüber dann die Mining-Software nachgeladen und installiert.

Schadsoftware als Schutz vor Wannacry

Diese Angriffe waren vermutlich erfolgreicher als Wannacry und blieben für rund drei Wochen komplett unbemerkt. Kurioserweise sind infizierte Rechner sogar vor Wannacry geschützt, da die schon vorhandene Schadsoftware weitere Angriffe der gleichen Art abwehrt. Entsprechend hatten die betroffenen Nutzer sogar Glück, nur Rechenleistung und Energiekosten und nicht ihre gesamten Daten verloren zu haben. Wannacry hingegen hat nun den heimlichen Crypto-Minern ihr Geschäft verdorben.

Quelle: Proofpoint