Ransomware ist eine Schadsoftware, die Computer infiziert und sperrt. Erpresser verlangen dann Geld dafür, Rechner oder ganze Netzwerke wieder freizugeben. (Symbolbild)
Santiago Silver / Fotolia
Der Wannacry-Angriff vom Wochenende, 12. bis 14. Mai 2017, war gerade eingedämmt, da meldeten Sicherheitsexperten bereits erste modifizierte Versionen der Schadsoftware. Kriminelle haben offenbar leicht umprogrammierte Kryptotrojaner ins Spiel gebracht. Einige davon verfügen nicht über den Kill Switch, quasi einen Notausschalter, den ein 22-Jähriger Brite eher zufällig im Code der Ransomware gefunden hatte.
Der junge Computerexperte hatte nach dem Auftreten von Wannacry am Wochenende im Programmcode eine Internetadresse (www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) entdeckt, wie zunächst der britische "Guardian" berichtete. An diese Adresse schickte der Trojaner Anfragen. Mit dem Ziel, mehr über Wannacry zu erfahren, registrierte der Nerd, der sich im Netz "Malwaretech" nennt, diese Internetadresse für knapp elf US-Dollar. Er richtete einen Server ein, der die Anfragen der infizierten Rechner sammeln sollte.
Hunderttausende Server-Anfragen jede Sekunde
Er entdeckte, dass von "Wannacry" 5000 bis 6000 Mal pro Sekunde Anfragen an diese Adresse gingen. Innerhalb von recht kurzer Zeit wuchs die Zahl der Anfragen ins Sechsstellige. Ein unverhoffter Effekt der Domainregistrierung war, dass die Verbreitung des Wurms gestoppt wurde, weil die Ramsomware nun jedes Mal eine Antwort auf seine Requests bekam. Malwaretech hatte den Kill Switch gefunden.
"Um die Sache noch weiter zu verkomplizieren, kursieren mittlerweile neue Trittbrettfahrer-Varianten von Wannacry", schreibt der Sicherheitsdienstleister G Data in seinem Wannacry-Blogbeitrag. "Nachdem viele Personen Zugang zu einem Sample der Malware hatten, haben einige begonnen, mit den Dateien zu experimentieren. Es gibt Varianten, die beispielsweise den beschriebenen Kill Switch nicht hatten oder in der die Domäne geändert wurde. Wieder andere Varianten funktionierten überhaupt nicht, da weitere Daten innerhalb der Schadsoftware geändert wurden, was deren Fähigkeit zur Infektion beeinträchtigt. Zum gegenwärtigen Zeitpunkt sind mehrere Hundert dieser modifizierten Wannacry-Varianten im Umlauf", heißt es vom Softwarehaus G Data.
Zwischenzeitlich hatten Security-Experten von Proofpoint noch einen anderen Angriff entdeckt und bringen ihn mit Wannacry in Verbindung, da die gleiche Sicherheitslücke genutzt wird.
Deutsche Bahn will sich als Opfer nicht äußern
Unter den mehr als 200.000 von Wannacry befallenen Computersystemen war in Deutschland die Deutsche Bahn das prominenteste Opfer. Mehrere Tage lang waren vor allem die Anzeigetafeln zu Zugverbindungen an Bahnhöfen gestört. Ob und welche weiteren Systeme bei der Bahn betroffen waren, dazu schweigt der Konzern. Wie ein Sprecher der Deutschen Bahn auf Anfrage von Springer Professional sagte, möchte man sich zum gegenwärtigen Zeitpunkt nicht zur Angelegenheit äußern. Aus Mitteilungen der Bahn vom Wochenende lässt sich schließen, dass offenbar auch Teile des Fahrkartenautomaten-Systems gestört waren.
Oops, the Deutsche Bahn has been hacked via ransomware. pic.twitter.com/Qqz7JAG9pS
— Uwe Pleban (@uwepleban) 12. Mai 2017
Auch auf die Frage, warum die befallenen Systeme nicht durch den bereits vor Monaten veröffentlichten Patch des Microsoft-Betriebssystems vor dem Angriff geschützt waren, gibt es von der Bahn keine konkrete Antwort. "Wir arbeiten mit Hochdruck an der Ursachenanalyse, die noch nicht abgeschlossen ist. Selbstverständlich werden wir aus den dann vorliegenden Ergebnissen prüfen, welche Maßnahmen daraus abzuleiten sind", sagte der Bahnsprecher auf Anfrage von Springer Professional.
Zu internen IT-Prozessen, wie Sicherheitsupdates auf IT-Systemen ausgerollt werden, möchte man sich beim Konzern "in der gegenwärtigen Phase" ebenfalls nicht äußern.