Wie die Ransomeware-Attacke gestoppt wurde

von Freeman

Wie ihr wahrscheinlich mitbekommen habt, hat am vergangenen Freitag ein riesiger Angriff mit einem Erpressungsversuch (Randsomware) gegen 126’000 Computer in 90 Länder stattgefunden. Dabei wurden die Daten auf den befallenen Computern verschlüsselt und wenn der Besitzer auf diese wieder Zugriff haben will, muss er 300 Dollar in Bitcoins zahlen.

Schuld an dieser Attacke ist im Endeffekt die NSA und Microsoft, denn die amerikanische Spionagebehörde hat eine Lücke in Windows nicht gemeldet, sondern sie für eigene Angriffe verschwiegen und auch dann verwendet. Aber diese „Hintertür“ wurde in Hackerkreisen bekannt und nun haben Cyber-Kriminelle die Lücke für die Erpressung genutzt. Betroffen sind alle Windows-Versionen niedriger als 10, wofür Mikroschrott einen Update herausgebracht hat, sogar für XP. Ein 22-jähgriger britischer PC-Experte hat zufällig die Verbreitung der Schadsoftware gestoppt, jedenfalls vorübergehend.

Der „Zufallsheld“ hat sich den Code der Software angeschaut und dabei eine Internet-Adresse darin gefunden. Als er diese im Browser aufrufen wollte merkte er, sie existiert nicht. Daraufhin hat er sie unter seinem Namen registriert. Als die Adresse dann aktiviert wurde merkte er, tausende Zugriffe finden auf diese statt. Gleichzeitig ging die Anzahl an Verseuchung zurück.

Er realisierte dann, wer immer die Schadsoftware programmierte, hat einen „kill switch“ damit eingebaut. Das heisst, der Programmierer hatte die Internet-Adresse deshalb vorgesehen, um selber eine Verbreitung zu stoppen. Wenn das schädliche Programm merkt, die Adresse existiert, dann schaltet sich diese aus.

Es ist nur eine vorübergehende Lösung zur Verhinderung der Schädigung von Computern, denn der Autor der Schadsoftware kann eine andere Adresse jetzt einbauen oder einen ganz anderen Mechanismus als Ausschalter programmieren. Die Erpressung ist höchst kriminell, aber der wirkliche Skandal ist, die NSA hat bewusst diese Lücke zugelassen, um sie selber zu verwenden.

Der junge Mann der sich „MalwareTech“ nennt, ist ein 22-Jähriger aus dem Südwesten von England, der für „Kryptos logic“ arbeitet, eine in Los Angeles beheimatete Firma, die auf Cyber-Bedrohungen spezialisiert ist.

Ich war draussen für ein Mittagessen mit einem Freund und kam um 15:00 Uhr zurück, als ich eine Flut an Nachrichten über die NHS (britisches Gesundheitssystem) und andere Organisationen die betroffen waren sah. Ich schaut mir die Sache an und fand ein Exemplar der Schadsoftware, und sah, sie versuchte auf eine spezielle Domain zuzugreifen, die aber nicht registriert war. Also habe ich sie genommen ohne zu wissen was diese tut zu der Zeit.

Die „kill switch“ war in der Schadsoftware hartkodiert, im Falle der Autor wollte die Verbreitung beenden. Dies involviert einen sehr langen unverständlichen Domein-Name, den die Schadsoftware aufruft – so wie wenn man jede andere Webseite aufrufen will – und wenn die Domain existiert, wird der Ausschalter aktiviert und die Verbreitung beendet.

Das Registrieren der Domain kostete 10,69 Dollar und darauf liefen sofort tausende Anfragen pro Sekunde. MalwareTech erklärte, er kaufte die Domain, weil seine Firma „botnets“ verfolgt und durch die Registrierung können sie Einsicht in die Verbreitung der „botnets“ beobachten.

Die Absicht war, nur die Verbreitung zu beobachten und dann zu überlegen, ob wir später etwas dagegen tun können. Aber wir haben damit die Verbreitung gestoppt„, sagte er.

Wie oben gesagt, jeder der eine älter Windows-Versionen unter 10 benutzt, sollte sofort den Update von Mikrosaft durchführen lassen, wenn nicht bereits getan, welche die Hintertür für das Eindringen der Schadsoftware schliesst. Betroffen wurden sowieso „nur“ alle PCs, die nicht regelmässig einen Update zulassen.

Da ich schon lange kein Windoof sondern Linux Mint verwende, bin ich und alle anderen die dieses tolle Betriebssystem nutzen nicht betroffen. Wieso man überhaupt noch die völlig unsicheren und spionierenden Microsoft-Produkte nutzt, statt die kostenlosen Alternativen, ist mir völlig schleierhaft.

Viele sagen jetzt, die US-Regierung muss unbedingt gegen die NSA etwas unternehmen, damit sie in Zukunft alle Lücken die sie entdeckt auch meldet, um sie schliessen zu können. Es geht überhaupt nicht an, dass die NSA Hintertüren offen lässt und Cyber-Kriminelle nutzen sie dann für Angriffe.

Die Abkürzung NSA bedeutet Nationale-Sicherheits-Agentur, soll also Amerika sicherer machen, aber offensichtlich tut sie nichts für die Sicherheit, sondern nutzt Sicherheitslücken, um PC-Nutzer auszuspionieren!


Quelle und Kommentare hier:
Print Friendly, PDF & Email

Das könnte Dich auch interessieren: