Die Sicherheitsfirma Kryptos Logic hat die Verbreitungswege des Verschlüsselungstrojaners WannaCry im Labor eingehend untersucht und kommt zu überraschenden Ergebnissen. Besonders interessant ist ihre Analyse zur Infektion von Windows-XP-Rechnern: In den meisten Fällen waren diese Systeme so instabil, dass der Trojaner seinen Angriff nicht erfolgreich durchführen konnte. Das widerspricht der bisher oft gehegten Vermutung, dass sich WannaCry vor allem über XP-Rechner verbreitet hatte.

Wackelige NSA-Lücke

Kryptos, zu deren Mitarbeiterstamm auch der Forscher gehört, der WannaCry per Notaus-Schalter lahmgelegt hatte, brachte Wochen damit zu, Rechner im Labor mit WannaCry zu infizieren. Einige ihrer Ergebnisse decken sich dabei mit den stichprobenartigen Tests von heise Security – auch wir hatten es zum Teil nicht geschafft, den Schädling auf bestimmten Windows-Versionen zum Laufen zu bekommen. Laut Kryptos funktioniert die DOUBLEPULSAR-Hintertür der NSA auf Windows XP Service Pack 2 und Server 2008 Service Pack 1 gar nicht und führt auf Rechnern mit XP Service Pack 3 sehr oft zu Abstürzen, wegen denen der Trojaner sein bösartiges Treiben nicht erfolgreich abschließen kann.

Wird der Trojaner lokal vom Nutzer auf manuellem Wege ausgeführt, schafft er es allerdings, auch diese Systeme zu verschlüsseln. Die Verbreitung über die von den Shadow Brokers geleakte ETERNALBLUE-Lücke übers Netzwerk funktioniert allerdings auf Grund der Bluescreens nicht, was die Verbreitung des Trojaners im lokalen Netz stark einschränkt. Insgesamt schätzt Kryptos mehr als 700.000 infizierte IP-Adressen zum Höhepunkt der Epidemie. Windows XP scheint aber – entgegen erster Annahmen – kaum zur Verbreitung von WannaCry beigetragen zu haben.

Alle Details der Analyse von Kryptos Logic finden sich im Blog der Sicherheitsfirma. (fab)