WannaCry: LG schaltet Teile seines Unternehmensnetzwerks ab

Die Ransomware WannyCry, die im Mai für Furore gesorgt hatte, hat ein weiteres Opfer gefunden. Der koreanische Elektronikkonzern LG bestätigte, dass einige seiner Systeme mit der auch als WannyCrypt bekannt gewordenen Malware infiziert wurden. Als Folge schaltete das Unternehmen Teile seines Netzwerks für zwei Tage ab, um eine weitere Verbreitung von WannaCry zu verhindern.

Entdeckt wurde die Erpressersoftware demnach auf einem Kiosk-System in einem Service Center des Unternehmens in Südkorea. „Wir haben am 14. August den schädlichen Code mit Hilfe der Korea Internet & Security Agency (KISA) analysiert und können tatsächlich bestätigen, dass es eine Ransomware war. Laut KISA war es die als WannaCry bekannte Ransomware“, erklärte ein LG-Sprecher auf Rückfrage von ZDNet.com.

LG habe unverzüglich nach dem Fund den Zugang zu dem Service Center gesperrt. Es seien keine Daten verloren gegangen und auch kein Lösegeld bezahlt worden. Nach zwei Tagen seien die Service-Terminals wieder funktionsfähig gewesen. Zudem habe man „die Installation aller fehlenden Sicherheitsupdates auf den mit dem Schadcode infizierten Terminals abgeschlossen“.

WannaCry verbreitet sich über eine Sicherheitslücke in einer alten Version des Windows-Netzwerkprotokolls Server Message Block (SMB), die Microsoft im März geschlossen hatte. Zudem nutzt WannaCry einen Exploit für diese Schwachstelle, der aus dem Fundus des US-Geheimdiensts National Security Agency (NSA) stammen soll.

WannaCry: Patches waren nicht installiert

Offenbar fehlte auf den LG-Systemen besagter Patch für die SMBv1-Lücke. Ohne das Sicherheitsupdate kann sich WannaCry innerhalb des Netzwerks und ohne weitere Interaktion mit einem Nutzer wie ein Wurm verbreiten und alle weiteren Systemen befallen, die nicht aktualisiert wurden.

Unklar ist laut LG jedoch, wie WannaCry in das Netzwerk des Service Centers gelangte. Auch ist weiterhin nicht bekannt, wer überhaupt hinter den WannaCry-Angriffen steckt. Sicherheitsexperten wollen zwar Hinweise gefunden haben, die auf nordkoreanische Hacker schließen lassen – eindeutige Beweise für diese Theorie fehlen jedoch.

Wer immer auch hinter WannaCry steckt leerte jedoch Anfang August drei von der Ransomware benutzte Bitcoin-Geldbörsen. Die insgesamt 52 Bitcoins hatten zu dem Zeitpunkt einen Wert von rund 142.000 Dollar. Das Geld stammte aus weniger als 360 Lösegeldzahlungen. WannaCry soll jedoch inzwischen mehr als 300.000 Systeme weltweit befallen haben.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.