WannaCrys böser kleiner Bruder

Neben der Ransomware WannaCry hat sich in diesem Frühjahr noch eine weitere Schadsoftware im Internet verbreitet. Sie nutzt dieselben Lücken – und wirft eine beunruhigende Frage auf.

In Pocket speichern vorlesen Druckansicht 2 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Jamie Condliffe

Dieselben Sicherheitslücken, die eine schnelle Verbreitung der Ransomware-Attacke WannaCry ermöglichten, wurden von Hackern genutzt, um auf fremden Rechnern Mining für eine exotische Kryptowährung zu betreiben. Und das hat sich für sie richtig gelohnt.

Ende der vergangenen Woche wurde die Welt von einer erpresserischen Schadsoftware (Ransomware) erwischt, die Computer in Krankenhäusern, Universitäten und Privatunternehmen lahmlegte, indem sie Dateien verschlüsselte und für die Entschlüsselung eine Bitcoin-Zahlung verlangte. Die schnelle Verbreitung basierte auf einer im Umfeld der National Security Agency der USA identifizierten Windows-Lücke namens EternalBlue und einer Hintertür namens DoublePulsar. Diese Werkzeuge gelangten später ins Internet, weil sie von der NSA für spätere Einsätze auf Reserve gehalten wurden.

Mehr Infos

WannaCry konnte durch rasches Eingreifen von engagierten Sicherheitsforschern vorerst gestoppt werden. Doch bei Untersuchungen des Angriffs hat die Sicherheitsfirma Proofpoint jetzt ein weiteres Stück Malware entdeckt: Adylkuzz nutzt dieselben Lücken wie WannaCry, um sich auf unsicheren Windows-Geräten rund um die Welt zu verbreiten.

Dieser zweite Hack war seit April unbemerkt geblieben. Der Grund: Anders als WannaCry, das den Nutzer auf sich aufmerksam macht, um direkt von ihm Geld zu erpressen, installiert Adylkuzz nur ein Stück Software, das dann Ressourcen des betroffenen Computers nutzt, um eine wenig bekannte Kryptowährung namens Monero zu verdienen. Das geschieht im Hintergrund, so dass der Nutzer nicht unbedingt etwas davon merkt – vielleicht ist er nur etwas ärgerlich, weil sein Rechner langsamer läuft als sonst.

Dass EternalBlue und DoublePulsar für diesen Zweck eingesetzt werden, findet Nolen Scaife, ein Sicherheitsforscher an der University of Florida, leicht nachvollziehbar. Die Kombination der beiden Exploits erlaube Angreifern, ziemlich jede beliebige Malware auf kompromittierte Computer zu laden. "Mir ist wichtig zu betonen, dass wirklich alles möglich wäre, zum Beispiel auch Keylogger", sagte er Technology Review. "Zu beobachten ist aber, dass Angreifer sie nutzen, um möglichst viel Geld damit zu machen."

Interessanterweise war die bislang unbemerkte Attacke weitaus lukrativer als der viel beachtete Fall WannaCry. Mitte dieser Woche belief sich die Summe der damit erpressten Lösegelder für die Entschlüsselung auf nur 80.000 Dollar – wahrscheinlich deshalb, weil die von den Kriminellen hinter WannaCry verlangte Währung Bitcoin so kompliziert zu nutzen ist. Die Adylkuzz-Attacke dagegen hat nach einer Schätzung schon 1 Million Dollar eingebracht.

Auf gewisse Weise ist Adylkuzz trotzdem weniger problematisch als WannaCry und auf jeden Fall weniger offen destruktiv. Doch der Angriff wirft eine beunruhigende Frage auf: Wenn er schon im April begonnen hat, ohne dass jemand darauf aufmerksam wurde – wie viele andere NSA-Werkzeuge, die ins Internet gelangt sind, wurden dann für bislang ebenfalls unentdeckte Attacken genutzt?

(sma)