zurück zur Übersicht

WannaMine – Meins, alles meins!

Es war einmal vor langer, langer Zeit, da fand sich eine Sicherheitslücke nicht im tiefen, finsteren Wald, sondern in einem der weitverbreitetsten (manche würden auch sagen, den weitverbreitetsten) Betriebssystemen der Welt.

In einem Anflug von Weitsicht gaben die ersten ehrlichen Finder der Lücke den Namen EternalBlue. Andere machten sich daran, die Bevölkerung vor der Bedrohung zu schützen, bisher mit mäßigem Erfolg, denn das Blau ist hartnäckig.

Noch immer findet sich Malware, die die vor einer IT-Ewigkeit (März 2017) gepatchte Lücke ausnutzt. Da aber auch Malware-Entwickler äußerst freundlich sein können, wird diese Windows-Hintertür wohl nicht mehr lange ein so großes Problem sein.

Ich schließe auch hinter mir ab, versprochen!

Die Rede ist (dieses Mal) von WannaMine. Panda Security berichtete schon im Oktober von dieser Malware, erste Hinweise gab es sogar schon früher. Klassischerweise verbreitet sich die Malware durch eine infizierte Mail oder einen präparierten Link. Danach greift sie entweder über Windows-Tools Login-Daten ab, um sich weiterzuverbreiten, oder kommt auf EternalBlue zurück, um nicht gepatchte Windows-Systeme zu infizieren. Nach der Installation wird SMB deaktiviert, was gleichbedeutend damit ist, EternalBlue für andere Schadsoftware (z.B. WannaCry) zu schließen. Der infizierte Rechner ist damit sozusagen sicher (zumindest sicherer als vorher).

Diesen unfreiwillig installierten Pseudo-Patch lassen sich die Entwickler von WannaMine als „Freundschaftsdienst“ natürlich bezahlen. Als nächstes wird nämlich ein Miner für die Cryptocurrency Monero heruntergeladen und ausgeführt. (Mehr zu den digitalen Währungen z.B. im Artikel „Crypto-Currencies: Digitales Shopping für Alice“ von Kollegen Bastian Haberl). Ebenso wie bei offiziellen Antivirenherstellern merkt der betroffene Benutzer von dieser unerwarteten Hilfeleistung erst einmal recht wenig, zumal WannaMine ein paar Tricks auf Lager hat, die es nicht so einfach machen, es zu entdecken. Nur die für den Normalbetrieb bereitstehende Rechenleistung des infizierten Computers leidet stark, da die Malware das Maximum an Leistung aus dem gekaperten Gerät für sich beansprucht.

Dass Kryptowährungen in letzter Zeit seltsame Situationen hervorrufen ist kein Geheimnis – und treibt teilweise direkt groteske Blüten. In Ottawa, Kanada beispielsweise wurde unlängst eine „Wechselstube“ für Digitalwährungen von „Bankräubern“ überfallen. Nein, es waren diesmal keine Hacker, sondern ganz analoge Ganoven, die auf althergebrachte Art mit Waffengewalt eine digitale Überweisung erzwingen wollten (hier mehr zu diesem merkwürdigen Banküberfall). In einem anderen Fall fand sogar eine Umfunktionierung von Supercomputern zur Entwicklung von Nuklearwaffen statt. Auch die Fälle unfreiwilligen Minens häufen sich, wie hier beschrieben oder im Falle des Telegram-Exploits.

WannaMine ist auch nicht die erste Malware, die hinter sich zusperrt und „feindliche“ Schadsoftware bekämpft. Trotzdem lohnt sich der Blick auf dieses interessante Szenario.

Konkurrenzkampf auf der Gegenseite

Es gibt dort draußen inzwischen mehr Malware als lohnende Ziele. Auch Malwareautoren haben es nicht leicht. Viele Firmen beginnen, sich deutlich besser abzusichern. Bei Privatanwendern ist nicht soviel zu holen – abgesehen davon, dass auch diese vielfach versuchen, sich besser zu schützen. Immerhin versuchen inzwischen auch im Consumer Bereich die Antivirus-Hersteller, auf den AI-Zug aufzuspringen. Es ist deshalb nur logisch, dass die Entwickler von Schadsoftware inzwischen verstärkt in direktem Konkurrenzkampf zueinander stehen. Das gilt natürlich insbesondere, seit sich mit dem Mining von Kryptowährungen auf sehr direkte Art Geld verdienen lässt. Die offen stehenden Hintertüren nach dem Eintreten hinter sich zu vernageln, ist eine valide Methode, unerwünschte Mitminer zu vermeiden. Am Ende handelt es sich bei dem Konkurrenten um ein Script Kiddie, das irgendeinen dummen Fehler macht und den Eigentümer des Rechners auf die benutzten Schwachstellen  hinweist! Bitcoin, bewahre!

Dieses Hick-Hack hat durchaus eine gewisse Tradition. Ein besonders schönes Beispiel war der Fall TeslaCrypt 2.0. Damals übernahmen besonders dreiste Hacker kurzerhand den Server der Konkurrenz-Ransomware Cryptowall um ihre eigenen Erpressungsgeschäfte abzuwickeln (wir berichteten im Artikel TeslaCrypt 2.0 erhöht die Voltzahl).

Die gegenseitige „Geschäftsschädigung“ sollte also nicht weiter verwundern.

Immerhin haben wir es mit Kriminellen zu tun.

 


Bild: ©iT-CUBE SYSTEMS AG 2018

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer