In dieser Aufzeichnung wird die Attacke und die Infektion mit Adylkuzz über die Eternalblue-Schwachstelle dokumentiert.
[M] Proofpoint | Dreaming Andy / Fotolia
Wie Cybersecurity-Experten herausgefunden haben, läuft nach der großangelegten Ransomware-Attacke am Wochenende vom 12. bis 14. Mai 2017 mit dem Kryptotrojaner Wannacry nun bereits eine zweite Angriffswelle. Dabei gehen Kriminelle jedoch ganz anders vor. Das Schadprogramm "Adylkuzz" nutzt befallene Computer offenbar, um mit deren Rechenleistung Kryptowährung, also digitales Geld, für die Hintermänner herzustellen.
Monika Schaufler, Regional Director DACH vom IT-Sicherheitsdienstleister Proofpoint, erklärt, dass die Experten des Softwarehauses den neuen, im verborgenen stattfindenden Angriff mit Wannacry in Verbindung bringen. Auch dieser neue Angriff nutze "die von der NSA gesammelten und dann gestohlenen Sicherheitslücken aus. Aber Adylkuzz arbeitet im Verborgenen und hat ein anderes Ziel. Den Cyberkriminellen geht es um die digitale Währung Monero, eine Alternative zu Bitcoin. Auf den infizierten Maschinen wird virtuelles Geld in Form von Monero erzeugt." Das sei für die Betrüger weitaus profitabler als ein Erpresserangriff, etwa mit Wannacry, sagt Schaufler.
Ablenkung durch Wannacry war eher versehentlich
"Wir vermuten, dass Wannacry mehr oder weniger versehentlich von diesem subtileren Angriff abgelenkt hat. Möglicherweise hat Adylkuzz die weitere Ausbreitung von Wannacry sogar verhindert", sagt Schaufler. Sowohl Wannacry als auch Adylkuzz verwendeten für ihre Verbreitung die Sicherheitslücke Eternalblue. Sie nutzt den von Microsofts SMB-Protokoll für Datei-, Druck- und sonstige Serverdienste in Netzwerken verwendeten IP-Port 445. Nachdem Adylkuzz einen Rechner befallen hat, blockiert er den Port 445 und verschließt somit dieses Einfallstor für Wannacry.
Beim Adylkuzz-Angriff werden die Rechner der Opfer nicht gesperrt und verschlüsselt, es findet keine Erpressung statt. Stattdessen nutzen die Kriminellen nur die Rechenleistung im Hintergrund, weswegen die betroffenen Computersysteme sehr langsam werden und einige Windows-Ressourcen nicht mehr zur Verfügung stehen.
Der Angriff via Adylkuzz begann laut Proofpoint bereits am 2. Mai 2017, vielleicht sogar früher. "Das lässt sich derzeit nicht sicher sagen", sagen die Experten. Aktuell seien bereits Zehntausende PCs weltweit mit Adylkuzz infiziert. "Und die Zahl wächst sehr schnell."
Ebenso wie vor dem Wannacry-Angriff schützt der von Microsoft schon seit Monaten veröffentlichte Patch auch vor Adylkuzz. Nur Rechner mit veraltetem Schutz oder alten, nicht mehr vom Support unterstützten Betriebssystemen sind anfällig für diese Schadsoftware.