In einem
Inteview mit "BBC" sprach Europol-Direktor Rob Wainwright von einer Cyberattacke von noch nie dagewesenem Ausmass und warnte davor, dass die Angriffe wohl am Montag weitergehen dürften. Seit die Ransomware Wannacry am Freitag Nachmitag entdeckt wurde ("Swiss IT Magazine"
berichtete) hat sich diese übers Wochenende rasant verbreitet. So sollen laut Europol rund 10'000 Organisationen und 200'000 Einzelpersonen in über 150 Ländern betroffen sein.
Einem Cybersecurity-Experten mit dem Pseudonym Malwaretech ist es jedoch gelungen, die Ausbreitung von Wannacry
deutlich zu verlangsamen. So soll sich im Code der Ranswomare ein Killswitch befunden haben, durch welchen die Ausbreitung von Wannacry gestoppt oder zumindest verlangsamt werden konnte. Dazu mussten die Forscher lediglich eine einzelne Domäne registrieren. Der Code soll demnach, sobald ein neues System infiziert wird, zuerst eine Web-Adresse überprüfen. Wenn die Domäne nicht besetzt ist, startet danach die Infektion. Als Experiment registrierte der Forscher die Domäne und erkannte, dass wenn diese besetzt ist, die Malware den Installationsprozess abbricht.
Microsoft hat in der Zwischenzeit auch einen Patch für Windows XP veröffentlicht und ruft Unternehmen dazu auf ihre Systeme zu updaten. Forscher haben jedoch auch zwei neue Variationen der Ransomware entdeckt und warnen vor erneuten Angriffen. Eine der beiden Variationen konnte bereits geblockt werden, indem analog zur ersten Variante eine unbesetzte Domäne registriert wurde. Bei der zweiten Variante konnten die Forscher aber bislang keinen Killswitch entdecken.
Wannacry verschlüsselt alle lokalen Dateien eines Systems und Opfer erhalten eine Forderung über 300 Dollar in Bitcoin, welche an eine Adresse überwiesen werden soll. Die Täter sollen aber trotz der enormen Verbreitung der Ransomware bislang lediglich rund 30'000 Dollar erbeutet haben. So konnten laut der Firma Elliptic, welche illegale Aktivitäten rund um Bitcoin untersucht, mindestens drei verschiedene Bitcoin-Adressen identifiziert werden, die in Zusammenhang mit den Angriffen stehen. Der Twitter-Account
Actual_Ransom informiert laufend über Zahlungen an die betreffenden Bitcoin-Wallets. Die Angreifer haben jedoch noch keine Mittel abgehoben und können dadurch auch nicht nachverfolgt werden.
Laut der Melde- und Analysestelle Informationssicherung (Melani), seien in der Schweiz bislang rund 200 IP-Adressen betroffen. Die
Übersichtskarte von Malwaretech zeigt alle befallenen Computer an. Melani-Leiter Pascal Lamia erklärte gegenüber der Nachrichtenagentur SDA, Unternehmen in der Schweiz seien gut sensibilisiert. Es gebe Länder, wo weniger regelmässig über Gefahren informiert werde.
(swe)
