/Tech

War der WannaCry-Angriff das Werk von Amateuren?

Andy Greenberg 16.05.2017

Die Ransomware-Attacke auf Computersysteme in aller Welt vom Wochenende ist eines der folgenreichsten Digital-Desaster der Internetära. Doch was zunächst wie ein Geniestreich begnadeter Hacker wirkte, sieht in den Augen von Sicherheitsexperten immer mehr nach schlampiger Amateurarbeit aus. Denn die Kriminellen hinter WannaCry machten an praktisch jeder Ecke vermeidbare Fehler.

Während die Ransomware-Attacke mit dem Spitznamen WannaCry (oder auch Wcrypt) noch im Gange ist, staunt die internationale Gemeinde der Internet-Sicherheitsexperten vor allem über zahlreiche Patzer der Malware-Entwickler. Zwar gelang es den Hackern, mehr als 200.000 Computersysteme in 150 Ländern zu infizieren, indem sie eine Sicherheitslücke in Windows XP ausnutzten. Dabei handelt es sich um eine Schwäche des Microsoft-Betriebssystems, die der US-Nachrichtendienst NSA zwar kannte, aber lange unter Verschluss gehalten hatte, um sie als geheime Hintertür nutzen zu können.

Die Schadsoftware, die Lösegeld erpressen soll, legte unter anderem britische Krankenhäuser lahm, infizierte Geldautomaten und führte bei der Deutschen Bahn zum Blackout der Fahrplananzeigen. Doch nun sagen Analysten, eine Reihe von Entwicklerfehlern habe das Ausmaß des Angriffs und die mögliche Beute stark eingeschränkt.

Zu den Schwachpunkten gehören: ein eingebauter Stopp-Schalter für die Attacke, den ein Malware-Experte schnell fand und damit Schlimmeres verhindern konnte; eine ungeschickte Abwicklung der Lösegeldzahlung mithilfe von Bitcoin, die es Fachleuten leicht macht, zu verfolgen, wohin die Beute wandert; und schließlich sogar die Implementierung der Erpresserfunktion in der Software selbst. Die Ransomware sei so schlampig programmiert, sagen Experten, dass ihre Entwickler nicht erkennen können, welche Opfer für die Freischaltung ihrer Informationen bezahlt haben und welche nicht.

Wenn Profi-Kriminelle sich ein Beispiel nehmen und das Prinzip perfektionieren, könnte der Schaden deutlich größer ausfallen

Dass ein Angriff, der offenbar so dilettantisch geplant war, dennoch so weitreichende Folgen haben konnte, zeigt allerdings: Wenn Profi-Kriminelle sich an WannaCry ein Beispiel nehmen und das Prinzip perfektionieren, könnte der Schaden deutlich größer ausfallen.

Bisher haben die WannaCry-Hacker den Gegenwert von etwa 60.000 Euro erbeutet – einen Bruchteil der Millionen-Gewinne, die professionell angelegte Ransomware-Attacken sonst erzielen. „Schaut man nur auf die Lösegeldzahlungen, haben wir es hier mit einem katastrophalen Flop zu tun“, urteilt Craig Williams, ein Cybersecurity-Experte aus Ciscos Talos-Team. „Der Schaden ist hoch, die Aufmerksamkeit der Öffentlichkeit noch höher, Polizei und Justizbehörden sind in Alarmbereitschaft – und zugleich ist die Gewinnspanne so gering, wie wir es wohl noch nie bei einer moderaten oder selbst einer kleinen Ransomware-Attacke erlebt haben.“

Der magere Ertrag sei zumindest teilweise auf grundlegende Schwächen in der Lösegeld-Funktion zurückzuführen, sagt Matthew Hickey vom Hacker House in London, einem Anbieter von Sicherheitsdienstleistungen. Als Hickey übers Wochenende die Erpresser-Software untersuchte, stellte er fest, dass dem Code eine entscheidende Funktion fehlt: WannaCry prüft nicht automatisch, ob ein Opfer das Lösegeld von 300 Dollar gezahlt hat, indem jeder Zahlung – die in Bitcoin erfolgt – eine eigene, eindeutig identifizierbare Bitcoin-Adresse zugewiesen wird. Stattdessen verlassen sich die Hacker auf vier Bitcoin-Adressen, die fest in den Code der Software eingebaut sind. 

Die Folge: Statt Zahlungen automatisch verifizieren zu können, müssen die Angreifer jeden Fall einzeln prüfen. Das ginge vielleicht bei einer überschaubaren Zahl von Erpressungsopfern – doch bei Hunderttausenden wird es unmöglich. „Am Ende läuft es auf Handarbeit hinaus“, erklärt Hickey. „Jemand muss die Zahlung quittieren und den Schlüsselcode verschicken“, der die Computersysteme wieder zugänglich mache.

Diese Methode, warnt der Experte, führe unweigerlich dazu, dass die Kriminellen nicht dazu kommen, sich um alle Betroffenen zu kümmern – selbst wenn die Opfer das Lösegeld zahlen. „Sie sind nicht darauf vorbereitet, mit den Konsequenzen eines Ausbruchs dieser Größe fertig zu werden“, sagt Hickey.

Die vier statischen Bitcoin-Adressen erschweren nicht nur den Hackern das Abkassieren – sie erlauben es auch Sicherheitsexperten und Justizbehörden, die Kriminellen leichter aufzuspüren, sobald jemand von ihnen versuchen sollte, die Bitcoin-Beute einzulösen. Denn alle Transaktionen in der Kryptowährung sind öffentlich sichtbar – dank der sogenannten Blockchain.

„Man könnte meinen, hier seien Genies am Werk gewesen. Schließlich haben die Programmierer eine von der NSA geschaffene Sicherheitslücke in einen Computervirus verwandelt“, erklärt Rob Graham, Analyst beim Dienstleister Errata Security. „Darin besteht aber schon die einzige echte Leistung dieser Typen – in jeder anderen Hinsicht sind sie Nullen. Dass sie statische Bitcoin-Adressen verwenden, statt jedem Opfer dynamisch eine eigene zuzuweisen, zeigt schon, wie beschränkt diese Leute in ihrem Denken sind.“

Cisco-Analysten sagen, sie hätten ein Bezahlknopf-Funktion im Code der Ransomware gefunden, obwohl das Programm gar nicht prüfe, ob tatsächlich jemand Lösegeld für die Daten gezahlt habe. Stattdessen, erklärt Williams, verschicke die Software zufällig gewählt eine von drei Fehlermeldungen oder eine gefälschte Entschlüsselungs-Nachricht.

Sollten die Hacker tatsächlich ihren Opfern helfen, Daten zurückzubekommen, so passiere das auf manuellem Wege, glaubt Williams – nämlich über direkte Kommunikation, wenn jemand auf den „Kontaktieren“-Knopf klickt, oder indem die Täter wahllos Codes zum Entschlüsseln an eine Handvoll Opfer schicken, um den Eindruck zu erwecken, dass die Lösegeldzahlungen tatsächlich etwas bringen. Dieses Zufallsprinzip gebe den Opfern wenig Anreize, sich auf die Erpressung einzulassen, argumentiert Williams. Schließlich könnten Betroffene sich nicht darauf verlassen, ihre Daten zurück zu bekommen: „Es untergräbt das Vertrauen, auf dem das Ransomware-Modell basiert.“

Natürlich stimmt es, dass WannaCry sich schneller und weiter ausgebreitet hat als jede andere Erpresser-Software je zuvor. Dass die Hacker sich einer Windows-Sicherheitslücke namens EternalBlue bedienten, die auf die NSA zurückgeht, führte zu einer Malware-Epidemie von von bisher ungekanntem Ausmaß.

Doch selbst wenn man nur darauf schaut, wie WannaCry darauf programmiert wurde, Computersysteme zu infizieren, zeigen sich enorme Patzer der Entwickler. Unerklärlich etwa, dass sie beschlossen, einen Stopp-Schalter (Englisch: „kill switch“) einzubauen, der es erlaubte, die Software über eine bestimmte Internetadresse zu deaktivieren – was prompt geschah.

Sicherheitsexperten spekulieren, diese Funktion habe verhindern sollen, dass die Entwickler bei Probeläufen, die innerhalb einer virtuellen Softwareumgebung stattfanden, auffliegen konnten. Doch schon am Freitag, kurz nach Beginn der Attacke, entdeckte ein privater Sicherheitsforscher, der sich MalwareTech nennt, die Schwäche und registrierte die Internet-Domain, die den Stopp-Schalter auslöste und eine weitere Ausbreitung von WannaCry verhinderte.

Zwar tauchte übers Wochenende sofort eine neue Version der Schadsoftware auf, die eine andere Internet-Adresse für den Stopp-Schalter benutzte. Aber auch diese war schnell gefunden: Der Sicherheitsexperte Matt Suiche aus Dubai registrierte die Domain, sobald die neue Version auftauchte, und verhinderte damit, dass sich die abgewandelte WannaCry-Version weiter verbreiten konnte. Unerklärlich ist für Suiche, dass die Hacker nicht auf die Idee kamen, die Internet-Domain für den Stopp-Schalter dynamisch abzufragen, statt sie fest in den Code der Malware einzubauen. „Mir ist nicht klar, warum es diesen kill switch weiterhin gibt“, sagt Suiche. Denselben Fehler gleich zweimal zu machen ergebe keinen Sinn – besonders bei einem Fehler, der WannaCry neutralisiert. „Es wirkt wie ein Fehler in der Logik.“

Das Missverhältnis zwischen Schaden und Erlös ist so groß, dass Experten andere Motive als Geldgier vermuten

Zusammengenommen haben all diese Schwächen den Ertrag der Erpresser stark beschränkt. Cisco-Experte Williams weist darauf hin, dass eine weit weniger beachtete Ransomware-Attacke namens Angler den kriminellen Entwicklern geschätzte 60 Millionen Dollar im Jahr einbrachte – ehe es 2015 gelang, die Software unschädlich zu machen.

Bei WannaCry dagegen ist das Missverhältnis zwischen Schaden und Erlös so groß, dass einige Sicherheitsexperten andere Motive als Geldgier vermuten. Statt Millionen zu kassieren, so spekulieren sie, könnte es den Entwicklern vielmehr darum gegangen sein, die NSA zu blamieren – und womöglich stecke dieselbe Hacker-Bande namens Shadow Brokers hinter der Attacke, der es ursprünglich gelungen war, die Instrumente der NSA aufzudecken. „Ich bin fest davon überzeugt“, sagt Matthew Hickey vom Londoner Hacker House, „dass jemand hinter dieser Sache steckt, dem es in erster Linie darum ging, so viel Schaden wie möglich anzurichten.“

Jenseits aller Spekulationen dürfte die wichtigste Lehre aus diesem Angriff sein: Der Schaden hätte bei professioneller Umsetzung deutlich größer ausfallen können – und die Verlockung für Kriminelle, Erpressersoftware auf die vernetzte Welt loszulassen, wird in Zukunft nur noch steigen. „Ohne Frage sehen wir hier die nächste Stufe in der Entwicklung von Malware“, sagt der Cisco-Sicherheitsforscher Williams. „Es wird Nachahmer geben.“ Und die können aus den Fehlern der WannaCry-Entwickler vieles lernen – um dann erfolgreich abzukassieren.

Dieser Artikel erschien zuerst bei WIRED.com.
Das Original lest ihr hier.

Jetzt WIRED Member werden und mit uns in die Zukunft starten!

Mit im Paket: 4 Magazin-Ausgaben im Jahr und der Member-Zugang zu exklusiven Inhalten auf WIRED.de sowie weitere Vorteile nur für Member.

Member werden