„WannaCry“ – Versionsunterschied

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
Versionsgeschichte interaktiv durchsuchen
[gesichtete Version][gesichtete Version]
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
Inhalt gelöscht Inhalt hinzugefügt
VisuellWikitext
→‎Übertragungswege: das "Opfer" ? der arme Kerl ist nur Auslöser der Katastrophe !
→‎Vorgeschichte: was hat die NSA-Sicherheitslücke damit zu tun? Das ist doch deren Problem und hat nichts mit der Schadsoftware zu tun - sprengt aus meiner Sicht auch den Rahmen des Themas
Zeile 8: Zeile 8:


=== Vorgeschichte ===
=== Vorgeschichte ===
WannaCry basiert auf [[EternalBlue]], einem [[Exploit]] der [[Sicherheitslücke]] MS17-010 im [[Server Message Block|SMB-Protokoll]] (auch NetBIOS) von Microsoft.<ref name="heise-713417" /> Der US-amerikanische [[Nachrichtendienst|Auslandsgeheimdienst]] [[National Security Agency|NSA]] nutzte diese Lücke über mehr als fünf Jahre, ohne Microsoft über sie zu informieren, obwohl es in der NSA in diesem Zeitraum mehrfach zu Sicherheitspannen gekommen war,<ref name="WashPost 2017-05-16">{{Internetquelle|url=https://www.washingtonpost.com/business/technology/nsa-officials-worried-about-the-day-its-potent-hacking-tool-would-get-loose-then-it-did/2017/05/16/50670b16-3978-11e7-a058-ddbb23c75d82_story.html|titel=NSA officials worried about the day its potent hacking tool would get loose. Then it did.|autor=|hrsg=|werk=[[The Washington Post]]|datum=2017-05-16|sprache=|zugriff=2017-05-18}}</ref> für eigene Zwecke mit einem Exploit, der den Namen EternalBlue erhielt und von Hackern der vermutlich NSA-nahen „Equation Group“ entwickelt worden war.<ref name="Stern-Waffenschrank">[http://faktenfinder.tagesschau.de/wanna-cry-cyberangriff-101.html Jenny Stern: ''Wanna Cry: Angriffstool aus dem Waffenschrank der NSA''], in: Tagesschau Faktenfinder, online 13. Mai 2017</ref><ref>[https://www.heise.de/security/meldung/Angebliche-Hacker-Waffen-der-NSA-zum-Verkauf-3295353.html Dennis Schirrmacher: ''Angebliche Hacker-Waffen der NSA zum Verkauf''], in: Heise.de, online 16. August 2016</ref> Erst nachdem die NSA erfahren hatte, dass das Wissen über EternalBlue gestohlen worden war, informierte sie Microsoft über die Sicherheitslücke.<ref name="WashPost 2017-05-16"/> Das Unternehmen stellte daraufhin am 12. März 2017 einen Sicherheits-Patch für den SMBv1-Server zur Verfügung, damals allerdings nur für [[Microsoft Windows XP Embedded]], zwei Versionen des Betriebssystemes [[Microsoft Windows Vista|Windows Vista]] sowie für [[Microsoft Windows 7|Windows 7]], [[Microsoft Windows 8|Windows 8.1]] und [[Microsoft Windows 10|Windows 10]] und für [[Microsoft Windows Server 2008|Windows Server 2008 und jünger]].<ref name="MS MS17-010">[https://technet.microsoft.com/de-de/library/security/ms17-010.aspx Microsoft: Sicherheitsupdate für Microsoft Windows SMB-Server (4013389)], online 14. März 2017</ref><ref name="KB4012598">[http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 Microsoft: Sicherheitsupdate KB4012598 vom 12. März und 13. Mai 2017]</ref> Einen Monat nach den Updates durch Microsoft wurde ''EternalBlue'' von der Hacker-Gruppierung The Shadow Brokers öffentlich gemacht.<ref>{{Internetquelle|url=https://arstechnica.com/security/2017/04/purported-shadow-brokers-0days-were-in-fact-killed-by-mysterious-patch/|titel=Mysterious Microsoft patch killed 0-days released by NSA-leaking Shadow Brokers|autor=Dan Goodin|werk=Ars Technica|datum=2017-04-15 |zugriff=2017-05-15}}</ref> Diese Beschränkung der Sicherheitsupdates durch Microsoft wurde später kritisiert, da damals immerhin 52 % der Unternehmen mindestens einen Rechner mit Windows XP und 9% mit Windows Vista nutzten.<ref>[https://www.theinquirer.net/inquirer/analysis/3010099/microsoft-its-not-just-the-nsa-if-you-want-to-kill-wannacry-fix-broken-windows Chris Merriman: ''Microsoft, it's not just the NSA. If you want to kill WannaCry, fix broken Windows''], in: The Inquirer, online 15. Mai 2017</ref>
WannaCry basiert auf [[EternalBlue]], einem [[Exploit]] der [[Sicherheitslücke]] MS17-010 im [[Server Message Block|SMB-Protokoll]] (auch NetBIOS) von Microsoft.<ref name="heise-713417" /> Der US-amerikanische [[Nachrichtendienst|Auslandsgeheimdienst]] [[National Security Agency|NSA]] nutzte diese Lücke über mehr als fünf Jahre, ohne Microsoft über sie zu informieren, für eigene Zwecke mit einem Exploit, der den Namen EternalBlue erhielt und von Hackern der vermutlich NSA-nahen „Equation Group“ entwickelt worden war.<ref name="Stern-Waffenschrank">[http://faktenfinder.tagesschau.de/wanna-cry-cyberangriff-101.html Jenny Stern: ''Wanna Cry: Angriffstool aus dem Waffenschrank der NSA''], in: Tagesschau Faktenfinder, online 13. Mai 2017</ref><ref>[https://www.heise.de/security/meldung/Angebliche-Hacker-Waffen-der-NSA-zum-Verkauf-3295353.html Dennis Schirrmacher: ''Angebliche Hacker-Waffen der NSA zum Verkauf''], in: Heise.de, online 16. August 2016</ref> Erst nachdem die NSA erfahren hatte, dass das Wissen über EternalBlue gestohlen worden war, informierte sie Microsoft über die Sicherheitslücke.<ref name="WashPost 2017-05-16"/> Das Unternehmen stellte daraufhin am 12. März 2017 einen Sicherheits-Patch für den SMBv1-Server zur Verfügung, damals allerdings nur für [[Microsoft Windows XP Embedded]], zwei Versionen des Betriebssystemes [[Microsoft Windows Vista|Windows Vista]] sowie für [[Microsoft Windows 7|Windows 7]], [[Microsoft Windows 8|Windows 8.1]] und [[Microsoft Windows 10|Windows 10]] und für [[Microsoft Windows Server 2008|Windows Server 2008 und jünger]].<ref name="MS MS17-010">[https://technet.microsoft.com/de-de/library/security/ms17-010.aspx Microsoft: Sicherheitsupdate für Microsoft Windows SMB-Server (4013389)], online 14. März 2017</ref><ref name="KB4012598">[http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 Microsoft: Sicherheitsupdate KB4012598 vom 12. März und 13. Mai 2017]</ref> Einen Monat nach den Updates durch Microsoft wurde ''EternalBlue'' von der Hacker-Gruppierung The Shadow Brokers öffentlich gemacht.<ref>{{Internetquelle|url=https://arstechnica.com/security/2017/04/purported-shadow-brokers-0days-were-in-fact-killed-by-mysterious-patch/|titel=Mysterious Microsoft patch killed 0-days released by NSA-leaking Shadow Brokers|autor=Dan Goodin|werk=Ars Technica|datum=2017-04-15 |zugriff=2017-05-15}}</ref> Diese Beschränkung der Sicherheitsupdates durch Microsoft wurde später kritisiert, da damals immerhin 52 % der Unternehmen mindestens einen Rechner mit Windows XP und 9% mit Windows Vista nutzten.<ref>[https://www.theinquirer.net/inquirer/analysis/3010099/microsoft-its-not-just-the-nsa-if-you-want-to-kill-wannacry-fix-broken-windows Chris Merriman: ''Microsoft, it's not just the NSA. If you want to kill WannaCry, fix broken Windows''], in: The Inquirer, online 15. Mai 2017</ref>


=== Betroffene Unternehmen und Einrichtungen ===
=== Betroffene Unternehmen und Einrichtungen ===

Version vom 26. Mai 2017, 11:23 Uhr

WannaCry, auch bekannt als Wcrypt, WCRY, WannaCrypt oder Wana Decrypt0r 2.0, ist ein Schadprogramm für Windows, das im Mai 2017 für einen schwerwiegenden Cyber-Angriff genutzt wurde. WannaCry befällt vorrangig Systeme, die den seit März 2017 von Microsoft angebotenen Sicherheits-Patch nicht enthalten.

Nach Befall eines Computers verschlüsselt das Schadprogramm bestimmte Benutzerdateien des Rechners und fordert als Ransomware den Nutzer auf, einen bestimmtem Betrag in der Kryptowährung Bitcoin zu zahlen, nach ungenutztem Ablauf einer Frist droht das Programm mit Datenverlust. Außerdem versucht das Programm, als Computerwurm weitere Windows-Rechner zu infizieren[1] und installiert die schon länger bekannte Backdoor „DoublePulsar“.[2]

Cyber-Angriff im Mai 2017

Betroffene Länder der Cyberattacke

Am 12. Mai 2017 startete ein großer Cyber-Angriff mit WannaCry, bei dem über 230.000 Computer in 150 Ländern infiziert und jeweils Lösegeldzahlungen verlangt wurden. Der Angriff wurde von Europol hinsichtlich seines Ausmaßes als noch nie da gewesenes Ereignis beschrieben.[3][4]

Vorgeschichte

WannaCry basiert auf EternalBlue, einem Exploit der Sicherheitslücke MS17-010 im SMB-Protokoll (auch NetBIOS) von Microsoft.[4] Der US-amerikanische Auslandsgeheimdienst NSA nutzte diese Lücke über mehr als fünf Jahre, ohne Microsoft über sie zu informieren, für eigene Zwecke mit einem Exploit, der den Namen EternalBlue erhielt und von Hackern der vermutlich NSA-nahen „Equation Group“ entwickelt worden war.[5][6] Erst nachdem die NSA erfahren hatte, dass das Wissen über EternalBlue gestohlen worden war, informierte sie Microsoft über die Sicherheitslücke.[7] Das Unternehmen stellte daraufhin am 12. März 2017 einen Sicherheits-Patch für den SMBv1-Server zur Verfügung, damals allerdings nur für Microsoft Windows XP Embedded, zwei Versionen des Betriebssystemes Windows Vista sowie für Windows 7, Windows 8.1 und Windows 10 und für Windows Server 2008 und jünger.[8][9] Einen Monat nach den Updates durch Microsoft wurde EternalBlue von der Hacker-Gruppierung The Shadow Brokers öffentlich gemacht.[10] Diese Beschränkung der Sicherheitsupdates durch Microsoft wurde später kritisiert, da damals immerhin 52 % der Unternehmen mindestens einen Rechner mit Windows XP und 9% mit Windows Vista nutzten.[11]

Betroffene Unternehmen und Einrichtungen

Der nachfolgende Abschnitt ist nicht hinreichend mit Belegen (beispielsweise Einzelnachweisen) ausgestattet. Angaben ohne ausreichenden Beleg könnten demnächst entfernt werden. Bitte hilf Wikipedia, indem du die Angaben recherchierst und gute Belege einfügst.
Viele Unternehmen und Einrichtungen sind unbelegt, bitte überprüfen und Einzelnachweise eintragen, siehe auch Diskussionseite

Der Cyberangriff betrifft mehrere global tätige Unternehmen. Darunter sind der spanische Telekommunikationskonzern Telefónica und einige andere große Unternehmen in Spanien, Teile des britischen National Health Service (NHS) mit mehreren Krankenhäusern, das US-Logistikunternehmen FedEx, der französische Automobilkonzern Renault, der japanische Automobilhersteller Nissan in Großbritannien, die Deutsche Bahn mit der Logistiktochter Schenker, die spanische Banco Bilbao Vizcaya Argentaria, das brasilianische Telekommunikationsunternehmen Vivo, das schwedische Unternehmen Sandvik, der chinesische Ölkonzern PetroChina. Über andere Ziele in mindestens 99 Ländern wurde ebenfalls berichtet. In Rumänien war das Außenministerium betroffen. In Russland sind mehr als 1000 Computer des Innenministeriums (MWD), das Katastrophenschutzministerium sowie das Telekommunikationsunternehmen MegaFon betroffen.[12]

Staatliche Ermittlungen und Reaktionen

In Deutschland hält das Bundesinnenministerium den Fall für besonders schwerwiegend. Das BKA hat die Ermittlungen übernommen. Regierungsnetze sollen nicht betroffen sein.[13] Der Präsident des Bundesamts für Sicherheit in der Informationstechnik Arne Schönbohm äußerte sich in einer Pressemitteilung:

„[…] Die aktuellen Angriffe zeigen, wie verwundbar unsere digitalisierte Gesellschaft ist. Sie sind ein erneuter Weckruf für Unternehmen, IT-Sicherheit endlich ernst zu nehmen und nachhaltige Schutzmaßnahmen zu ergreifen. Die aktuelle Schwachstelle ist seit Monaten bekannt, entsprechende Sicherheitsupdates stehen zur Verfügung. Wir raten dringend dazu, diese einzuspielen.“

Arne Schönbohm[14]

Microsofts Präsident und Rechtsvorstand Brad Smith verweist auf wiederholtes Bekanntwerden von Exploits aus Beständen der CIA und der NSA, das mit dem Abhandenkommen von Marschflugkörpern aus militärischen Einrichtungen zu vergleichen sei,[15] und wirft „den Regierungen der Welt“ vor, nicht ausreichend vor Software-Schwachstellen (Exploits) zu warnen, welche ihre Geheimdienste entdecken:

„Wir brauchen Regierungen, die sich des Schadens für Zivilpersonen bewusst sind, der aus dem Anhäufen und Ausnutzen solcher Software-Sicherheitsprobleme entsteht“

Brad Smith[16]

Die älteren Windows-Versionen XP, nicht auf Windows 8.1 aktualisiertes Windows 8 sowie Windows Server 2003 erhielten bis zum Zeitpunkt des Angriffs zunächst kein Update mehr, da diese außerhalb des Supportzeitraums lagen. Diese Beschränkung der Sicherheitsupdates durch Microsoft wurde später kritisiert, da laut einer Umfrage damals immerhin 52 % der Unternehmen mindestens einen Rechner mit Windows XP nutzten.[17] Microsoft reagierte jedoch am 12. Mai 2017 mit der Veröffentlichung von Patches auch für diese bisher nicht mehr unterstützten Betriebssysteme.[4]

Die Sicherheitsfirmen Kaspersky Lab und Symantec gaben am 15. Mai 2017 bekannt, dass sie Teile des Codes, mit dem frühe Versionen der Schadsoftware programmiert wurden, der Lazarus-Gruppe zuordnen,[18] einer Gruppierung, von der angenommen wird, dass sie im staatlichen Auftrag von Nordkorea operiert.[19] Beide Unternehmen betonen, dass es sich bei ihren Erkenntnissen bloß um Indizien handelt, die weit davon entfernt sind, beweiskräftig zu sein.[20]

Übertragungswege

Die SMBv1-Schnittstelle wird unter vielen Windows-Versionen zur Datei- und Druckerfreigabe im Netz benötigt. Eine Sicherheitslücke ermöglicht es, dass der jeweilige Windows-Rechner von außerhalb dazu gebracht werden kann, beliebigen anderen Code auszuführen - in diesem Fall WannaCry mit seinen diversen Modulen.[21][22][23][24] Dabei kann WannaCry über mehrere Übertragungswege („Angriffsvektoren“) zugreifen: Die initiale Infektion eines Computers erfolgt beispielsweise über Mails mit kompromittierenden Anhängen oder Verknüpfungen in Mails, die von einem ahnungslosen Nutzer geöffnet werden und diesen mittels Social Engineering auf präparierte Websites locken. Ohne weiteres Zutun des Nutzers sucht WannaCry dann aufgrund seiner Wurm-Eigenschaft nach weiteren Rechnern im lokalen Netzwerk und infiziert sie, falls sie nicht geschützt sind, und sendet zahlreiche IP-Anfragen ins Internet, um auch darüber nicht geschützte Rechner zu infizieren.[25]

Schadwirkung

Während der initialen Ausbreitung verschafft WannaCry dem gerade aktiven Windows-Konto Administratorrechte, blendet auch als versteckt markierte Dateien ein und verschlüsselt etwa 100 verschiedene Dateitypen von Dokument-, Bild-, Video- oder Audioformaten, welche auf der internen Festplatte, einem Netzlaufwerk oder einem anderen angeschlossenen Speichermedium mit Laufwerkbuchstaben gefunden werden, mit einem 2048-Bit-RSA-Schlüssel.[26] Die verschlüsselten Dateien erhalten die Dateiendung .WNCRY.[22] Danach fordert die Ransomware einen bestimmtem fallweise unterschiedlichen Betrag in der Kryptowährung Bitcoin, der binnen einer Frist von wenigen Tagen gezahlt werden soll, um die Dateien zu entschlüsseln. Nach ungenutztem Ablauf der Frist droht das Programm außerdem mit Datenlöschung. Außerdem können RDP-Verbindungen (für die Fernsteuerung des PCs) missbraucht werden.[27]

Zahlung von Lösegeld

Der Programmcode von WannaCry sieht vor, für jeden befallenen Computer eine individuelle Bitcoin-Adresse zu generieren. Damit können eingegangene Lösegelder dem Rechner zugeordnet und die Entschlüsselungscodes an die Opfer übermittelt werden. Aufgrund eines sogenannten „kritischen Wettlauffehlers“ versagt jedoch die Erzeugung individueller Bitcoin-Adressen, stattdessen findet ein Rückgriff auf eine von drei festen Bitcoin-Adressen statt. Es ist dann davon auszugehen, dass die Täter nicht erkennen können, ob für einen bestimmten gekaperten Computer das Lösegeld entrichtet wurde. Die Sicherheitsfirma Symantec geht deshalb davon aus, dass Lösegeldzahlungen nicht zum Erfolg führen.[28] Nach anderen Angaben hingegen führten einige Zahlungen zur Entschlüsselung, nachdem sie manuell ausgehandelt wurden.[29][30] Bei späteren Varianten der Malware, die aber geringe Ausbreitung erreichten, wurde der Programmfehler behoben.[28]

Schutzmaßnahmen

Hemmung der Ausbreitung

Bereits am 12. Mai entdeckten Sicherheitsforscher bei ihren Analysen durch Zufall eine Art „Notausschalter(kill switch), der eine weitere Infektion eindämmte.[31] Die Forscher fanden im Code der Schadsoftware einen Hinweis auf eine zu dem Zeitpunkt nicht registrierte Domain.[26] Einer der Forscher registrierte die Domain, weil er sich davon weitere Erkenntnisse über den Kryptotrojaner versprach. Auf einem unter dieser Adresse betriebenen Server verzeichnete er sofort tausende Verbindungsversuche. Als das Schadprogramm auf diese Domain zugreifen konnte, stoppte es seine Weiterverbreitung.[32] Mittlerweile sind auch WannaCry-Varianten ohne Kill Switch und mit anderen Abschaltadressen aufgetaucht.[33][34]

Sicherheitsupdates

Am 12. März 2017 hatte Microsoft nur für Windows-Versionen, die damals noch im Rahmen des „erweiterten Supports“ unterstützt wurden, Sicherheitsupdates gegen die Lücke im SMBv1-Server bereitgestellt. Das Unternehmen begründete diese Einschränkung damit, Versionen oder Editionen, die nicht aufgeführt seien, hätten entweder das Ende ihres Supportlebenszyklus überschritten oder seien nicht betroffen.[8] Wenige Stunden nach Bekanntwerden der Ausbreitung von WannaCry stellte das Unternehmen aber am 13. Mai 2017 auch Sicherheitsupdates für ältere Betriebs- und Serversysteme bis zurück zu Windows XP und Windows Server 2003 zur Verfügung.[9]

Weitere Schutzmaßnahmen

Zusätzlich wird der Einsatz aktueller Antivirenprogramme empfohlen. Allerdings blockieren einige den Zugriff auf die encodierte KillSwitch-Domain, weil sie den erhöhten Datenverkehr mit ihr für verdächtig halten, was kontraproduktiv ist, da sich das Schadprogramm dann wegen unterbleibender Aktivierung des Notausschalters weiterverbreitet.[24] Außerdem sollten mithilfe der Firewall die TCP-Ports 445/139/137 und die UDP-Ports 137 und 138 (alle fünf werden durch SMB benutzt) sowie der TCP-Port 3389 (RDP) geschlossen werden,[35] um ein Eindringen der derzeit häufigsten Variante des Schädlings zu verhindern.[36] Dies schützt die darauf aufbauenden Dienste dauerhaft vor Angriffen von außen.

Neu freigesetzte Varianten des Schadprogramms wie auch ganz andere Angreifer können allerdings andere Lücken und Ports zum Eindringen und zur Verbreitung nutzen. Daher ist laut Einschätzung der Fachpresse eine Reihe weiterer Maßnahmen sinnvoll: SMB und die Dateifreigabe können ganz deaktiviert werden.[35] Dateien mit unpassender oder mehrfacher Dateiendung oder sonst wie verdächtige Dateianhänge in Mails – selbst von bekannten Absendern – sollten nicht geöffnet werden, weil deren Rechner ohne Wissen der Absender bereits kompromittiert sein könnte. Microsoft Office und ähnliche Programme sollten keine Makros ausführen dürfen und Programme, die nicht vertrauenswürdig erscheinen, sollten nicht gestartet werden. Um den Schaden im Falle einer Infektion so gering wie möglich zu halten, empfehlen die Autoren darüber hinaus, regelmäßige Datensicherungen durchzuführen und die Backup-Medien nach dem Backup vom System abzutrennen, damit sie nicht ihrerseits infiziert werden.[37]

EternalRocks

Mithilfe eines Honeypots entdeckte der Sicherheitsforscher Miroslav Stampar eine neue Schadsoftware namens "EternalRocks", welche sieben geleakte NSA hacking tools benutzt und Rechner mit dem Windows Betriebssystem anfällig für zukünftige Attacken lässt, welche jederzeit − wie WannaCry − global stattfinden können.[38][39][40][41]

Weblinks

Einzelnachweise

  1. Code: GitHub - GregorSpagnolo/WannaCrypt: Known WannCrypt Bitcoin addresses. In: github.com. 15. Mai 2017, abgerufen am 15. Mai 2017 (englisch).
  2. GitHubGist: Wannacryptor factsheet, Abruf 15. Mai 2017
  3. BBC News: Ransomware cyber-attack threat escalating - Europol. In: BBC.co.uk. 14. Mai 2017, abgerufen am 14. Mai 2017.
  4. a b c Dusan Zivadinovic: WannaCry: Microsoft liefert Sicherheits-Patches für veraltete Windows-Versionen. In: heise.de. 13. Mai 2017, abgerufen am 13. Mai 2017.
  5. Jenny Stern: Wanna Cry: Angriffstool aus dem Waffenschrank der NSA, in: Tagesschau Faktenfinder, online 13. Mai 2017
  6. Dennis Schirrmacher: Angebliche Hacker-Waffen der NSA zum Verkauf, in: Heise.de, online 16. August 2016
  7. Referenzfehler: Ungültiges <ref>-Tag; kein Text angegeben für Einzelnachweis mit dem Namen WashPost 2017-05-16.
  8. a b Microsoft: Sicherheitsupdate für Microsoft Windows SMB-Server (4013389), online 14. März 2017
  9. a b Microsoft: Sicherheitsupdate KB4012598 vom 12. März und 13. Mai 2017
  10. Dan Goodin: Mysterious Microsoft patch killed 0-days released by NSA-leaking Shadow Brokers. In: Ars Technica. 15. April 2017, abgerufen am 15. Mai 2017.
  11. Chris Merriman: Microsoft, it's not just the NSA. If you want to kill WannaCry, fix broken Windows, in: The Inquirer, online 15. Mai 2017
  12. Volker Briegleb: Ransomware WannaCry befällt Rechner der Deutschen Bahn – heise online. In: heise.de. 13. Mai 2017, abgerufen am 13. Mai 2017.
  13. Volker Briegleb: WannaCry: BKA übernimmt Ermittlungen nach weltweiter Cyber-Attacke – heise online. In: heise.de. 13. Mai 2017, abgerufen am 13. Mai 2017.
  14. BSI - Presseinformationen des BSI - Weltweite Cyber-Sicherheitsvorfälle durch Ransomware. In: bsi.bund.de. Abgerufen am 15. Mai 2017.
  15. Brad Smith: The need for urgent collective action to keep people safe online: Lessons from last week’s cyberattack, in: Microsoft on the issues, online 14. Mai 2017
  16. "WannaCry"-Angriff: Microsoft macht Regierungen Vorwürfe. In: Spiegel Online. Abgerufen am 15. Mai 2017.
  17. Chris Merriman: Microsoft, it's not just the NSA. If you want to kill WannaCry, fix broken Windows, in: The Inquirer, online 15. Mai 2017
  18. "NHS cyber attack: Everything you need to know about 'biggest ransomware' offensive in history" Daily Telegraph vom 17. Mai 2017
  19. Phil Muncaster : "Lazarus Group Exposed with Major New North Korea Link" infosecurity-magazine.com vom 4. April 2017
  20. heise online: WannaCry: Sony-Pictures-Hacker aus Nordkorea unter Verdacht. Abgerufen am 17. Mai 2017 (deutsch).
  21. Vulnerability CVE-2017-0144 in SMB exploited by WannaCryptor ransomware to spread over LAN. ESET North America, archiviert vom Original am 16. Mai 2017; abgerufen am 16. Mai 2017.
  22. a b msft-mmpc: WannaCrypt ransomware worm targets out-of-date systems, in: Microsoft Blog Technet / Windows Security, online 13. Mai 2017
  23. US States Computer Readiness Emergency Team (US-CERT): Alert (TA17-132A) Indicators Associated With WannaCry Ransomware, in: US Department of Homeland Security, online Abruf 15. Mai 2017
  24. a b heise online: WannaCry: Was wir bisher über die Ransomware-Attacke wissen. In: heise online.
  25. MS-Blogger msft-mmpc: WannaCrypt ransomware worm targets out-of-date systems, online 12. Mai 2017
  26. a b Player 3 Has Entered the Game: Say Hello to ‘WannaCry’. In: Cisco’s Talos Intelligence Group Blog. 12. Mai 2017, abgerufen am 15. Mai 2017.
  27. Zammis Clark: The worm that spreads WanaCrypt0r. 12. Mai 2017, abgerufen am 20. Mai 2017.
  28. a b What you need to know about the WannaCry Ransomware, 15. Mai 2017
  29. Teardown: WannaCry Ransomware, 17. Mai 2017
  30. Wie viel die «Wanna Cry»-Hacker verdienen, 16. Mai 2017.
  31. How to Accidentally Stop a Global Cyber Attacks. In: MalwareTech. 13. Mai 2017, abgerufen am 15. Mai 2017.
  32. Michael Link: Ransomware WannaCry: Sicherheitsexperte findet "Kill-Switch" – durch Zufall. In: heise.de. 13. Mai 2017, abgerufen am 15. Mai 2017.
  33. Matt Suiche: WannaCry — New Variants Detected! In: Comae Technologies. 14. Mai 2017, abgerufen am 15. Mai 2017.
  34. Christof Windeck: WannaCry: Gewaltiger Schaden, geringer Erlös. In: heise.de. 14. Mai 2017, abgerufen am 15. Mai 2017.
  35. a b Mohit Kumar: WannaCry Ransomware: Everything You Need To Know Immediately. In: thehackernews. 15. Mai 2017, abgerufen am 18. Mai 2017.
  36. Martin Holland, Axel Kannenberg: WannaCry: Angriff mit Ransomware legt weltweit Zehntausende Rechner lahm. In: heise.de. 12. Mai 2017, abgerufen am 13. Mai 2017.
  37. heise Security: WannaCry & Co.: So schützen Sie sich. Abgerufen am 15. Mai 2017 (deutsch).
  38. John Leyden: 7 NSA hack tool wielding follow-up worm oozes onto scene: Hello, no need for any phish! 17. Mai 2017, abgerufen am 22. Mai 2017.
  39. EternalRocks worm uses seven NSA exploits (WannaCry used two). CNET, abgerufen am 23. Mai 2017 (englisch).
  40. New SMB Worm Uses Seven NSA Hacking Tools. WannaCry Used Just Two. BleepingComputer, abgerufen am 22. Mai 2017 (amerikanisches Englisch).
  41. Adarsh Verma: EternalRocks: New Malware Uses 7 NSA Hacking Tools, WannaCry Used Just 2. Fossbytes, 23. Mai 2017, abgerufen am 22. Mai 2017.
Abgerufen von „https://de.wikipedia.org/w/index.php?title=WannaCry&oldid=165827774