Windows XP, das alte Betriebssystem von Microsoft, das seit Jahren nicht weiterhin unterstützt wird ist von der WannaCry-Ransomware verschont geblieben. Der Grund dafür ist, dass die Ransomware aufgrund von Sicherheitslücken in moderneren Windows-Versionen nicht mit Windows XP kompatibel ist. Auch wenn Windows XP aufgrund der fehlenden Sicherheitsupdates instabil ist, hat es in diesem Fall als Bluescreen-Retter fungiert.
Die Sicherheitsfirma Kryptos Logic hat die Verbreitungswege des Verschlüsselungstrojaners WannaCry im Labor eingehend untersucht und kommt zu überraschenden Ergebnissen. Besonders interessant ist ihre Analyse zur Infektion von Windows-XP-Rechnern: In den meisten Fällen waren diese Systeme so instabil. Dass Trojaner seinen Angriff nicht erfolgreich durchführen konnte. Das widerspricht der bisher oft gehegten Vermutung, dass sich WannaCry vor allem über XP-Rechner verbreitet hatte.
Angriff mit Krypto-Trojaner WannaCry
Es begann am Abend des 12. Mai 2017 mit Schreckensmeldungen aus Großbritannien: Der Krypto-Trojaner WannaCry verbreitete sich weltweit, legte hunderttausende nicht gepatchter oder veralteter Rechner lahm und richtete immensen Schaden an.
- WannaCry & Co.: So schützen Sie sich
- WannaCry: Was wir über die Ransomware-Attacke wissen
- WannaCry: Angriff mit Ransomware legt weltweit Zehntausende Rechner lahm
- Kommentar: Staatliche Dienste müssen Erkenntnisse teilen
- WannaCry: Gewaltiger Schaden, geringer Erlös
- WannaCry: Microsoft liefert Sicherheits-Patches für veraltete Windows-Versionen
- Ransomware WannaCry befällt Rechner der Deutschen Bahn
- Ransomware WannaCry: Sicherheitsexperte findet "Kill-Switch" ? durch Zufall
Wackelige NSA-Lücke
Kryptos, zu deren Mitarbeiterstamm ebenfalls der Forscher gehört der WannaCry per Notaus-Schalter lahmgelegt hatte brachte Wochen damit zu Rechner im Labor mit WannaCry zu infizieren. Einige ihrer Ergebnisse decken sich dabei mit den stichprobenartigen Tests von heise Security ? auch wir hatten es zum Teil nicht geschafft, den Schädling auf bestimmten Windows-Versionen zum Laufen zu bekommen. Laut Kryptos funktioniert die DOUBLEPULSAR-Hintertür der NSA auf Windows XP Service Pack 2 & Server 2008 Service Pack 1 gar nicht und führt auf Rechnern mit XP Service Pack 3 sehr oft zu Abstürzen, wegen denen der Trojaner sein bösartiges Treiben nicht erfolgreich beenden kann.
Wird der Trojaner lokal vom Nutzer auf manuellem Wege ausgeführt schafft er es allerdings auch diese Systeme zu verschlüsseln. Die Verbreitung über die von den Shadow Brokers geleakte ETERNALBLUE-Lücke übers Netzwerk funktioniert allerdings auf Grund der Bluescreens nicht was die Verbreitung des Trojaners im lokalen Netz stark einschränkt. Insgesamt schätzt Kryptos mehr als 700․000 infizierte IP-Adressen zum Höhepunkt der Epidemie. Windows XP scheint aber ? entgegen erster Annahmen ? kaum zur Verbreitung von WannaCry beigetragen zu haben.
Alle Details der Analyse von Kryptos Logic finden sich im Blog der Sicherheitsfirma.
Kommentare