Kryptografie soll die Sicherheit erhöhen. Dank ausgeklügelter, komplexer mathematischer Verfahren und Algorithmen gelingt dies in der Regel sehr effektiv und für die »bösen Jungs« (und Mädels) ist es teilweise sehr schwierig bis unmöglich, kryptografisch gesicherte Daten und Datenströme zu knacken bzw. zu entschlüsseln. Umso perfider wird es, wenn diese Technologien gegen uns verwendet werden. So geschehen bei den sogenannten Kryptotrojanern bzw. der gefürchteten Ransomware.
Hinter Kryptotrojanern steckt sehr viel kriminelle Energie, denn die Angreifer wollen in fast allen Fällen Geld ergaunern. Die Schädlinge verschlüsseln persönliche Daten auf dem System des Opfers so, dass sie für den Eigentümer unbrauchbar sind. Es gibt auch Varianten, die den Zugriff auf das komplette System blockieren. Erst gegen Bezahlung eines Lösegeldes (engl. Ransom) werden die Dateien entschlüsselt und damit wieder verfügbar gemacht. Nachdem das Opfer über eine anonyme Zahlungsmethode, wie zum Beispiel die Kryptowährung Bitcoin, das Lösegeld bezahlt hat, ist natürlich nicht gewährleistet, dass die Daten tatsächlich wieder freigegeben werden.
Heutzutage ist natürlich das Internet die Hauptquelle, von der man sich infizieren kann. Das kann durch E-Mail-Anhänge, Software-Downloads oder unbemerkt über den Browser via Drive-by-Download geschehen. Und Vorsicht! Diese fiesen Dinger sind mittlerweile weit verbreitet. So findet man inzwischen sogar Baukastensysteme, sogenannte Crimeware-Kits, mit deren Hilfe Ransomware erstellt und verteilt werden kann.
So funktioniert WannaCry
Sie ist geboren am 12. Mai 2017 und hört auf den Namen WannaCry. Die Rede ist von einer Ransomware, mit dessen Hilfe laut Europol ein Cyberangriff noch nie da gewesenen Ausmaßes (mehr als 230.000 Systeme in 150 Ländern) realisiert wurde. Einmal infiziert, verhält sich die Software so, dass verschiedene Dateitypen (u.a. Dokumente, Fotos und Videos) des Opfers verschlüsselt (2048-BitRSA-Schlüssel) werden und damit nicht mehr nutzbar sind.
Daraufhin erscheint die Aufforderung zur Zahlung des Lösegelds bis zum 19. Mai. Wird darauf eingegangen, soll der Nutzer den Code für die Entschlüsselung erhalten, ansonsten werden die verschlüsselten Dateien unwiderruflich gelöscht.
Zu allem Übel verbreitet sich WannaCry wie ein Wurm auf andere Rechner im lokalen Netz. Dafür wird eine Lücke in den Windows-Dateifreigaben (SMB) genutzt. Der Exploit, der die von WannaCry genutzte Lücke ausnutzt, ist unter dem Namen EternalBlue (CVE-2017-0144) bekannt. Diese Sicherheitslücke war der NSA scheinbar seit über fünf Jahren bekannt und wurde auch für deren Zwecke genutzt.
Erst, nachdem die Sicherheitslücke öffentlich wurde, hat die NSA Microsoft über die Sicherheitslücke informiert. In Deutschland war der Angriff vor allem bei der Deutschen Bahn sichtbar. So wurde an vielen Anzeigetafeln der Bahnhöfe eine entsprechende Anzeige ausgegeben.
Dieser Artikel ist ein Auszug aus dem Buch „Hacking“ von Eric Amberg und Daniel Schmid. Alle Infos zum Buch, das Inhaltsverzeichnis und eine kostenlose Leseprobe findet ihr bei uns im Shop.