Im vergangenen Jahr erbeutete die Hacker-Gruppe Shadow Brokers Sicherheitslücken und Exploits von der National Security Agency (NSA). Als Bemühungen, das Paket an den Höchstbietenden zu versteigern fehlschlugen, veröffentlichten die Shadow Brokers das Material im April zum Nulltarif im Internet. Seitdem wurden die Exploits bei mehreren Malware-Angriffen benutzt.
Anfang des Monats infizierte die Erspresser-Software WannaCry weltweit mehr als 300.000 Rechner. Sie machte sich zwei der NSA-Sicherheitslücken zunutze. Wenige Tage später stießen Sicherheitsforscher auf Adylkuzz, eine neue Malware, die ein Botnetz aufbaut, um unbemerkt Kryptowährung zu minen.
Die dritte Malware im Bunde ist nun EternalRocks . Entdeckt wurde der Wurm von Miroslav Stampar, Cyber-Security-Experte bei CERT in Kroatien. Er verfolgte die Spuren des Schädlings bis zum 3. Mai 2017 zurück. Stampar stellte einen so genannten Honeypot auf, eine Falle, auf die sich neue Malware stürzen soll. EternalRocks fiel darauf herein. Bei näherer Untersuchung fand der Sicherheitsexperte heraus, dass sich EternalRocks mit EternalBlue, DoublePulsar, EternalChampion, EternalRomance, EternalSynergy, ArchiTouch und SMBTouch gleich sieben NSA-Exploits zunutze macht, die im Leak der Shadow Brokers enthalten waren.
EternalRocks verbreitet sich wie WannaCry über eine Windows-Lücke. Im Gegensatz zur Erpresser-Software, meldet EternalRocks dem PC-Besitzer jedoch die Infektion nicht. Der Wurm bleibt versteckt im System und lädt den Tor-Browser herunter, üben den er dann ein Signal an die Wurm-Server schickt. Danach wartet EternalRocks für 24 Stunden. Nach einem Tag antwortet der Server und beginnt mit dem Download und der Selbstreproduktion.
Mit der Wartezeit von 24 Stunden soll es der Wurm Sicherheitsexperten schwerer machen, genaue Informationen über ihn zu gewinnen. EternalRocks nennt sich selbst sogar WannaCry, um unentdeckt zu bleiben, erklärt Michael Patterson, CEO der Sicherheitsfirma Plixer, gegenüber Cnet . Wie die WannCry-Varianten verfügt auch EnternalRocks nicht über einen Killswitch. Die Verbreitung der Malware kann also nicht so einfach gestoppt werden.
Derzeit verhält sich EternalRocks ruhig, während sich der Wurm imer weiter verbreitet. Aufgrund seiner stillen Natur ist bislang auch unmöglich festzustellen, wie viele PCs die Malware bereits befallen hat. Laut Stampar könnte EternalRocks jederzeit per Knopfdruck aktiviert werden und sich in eine Ransomware oder einen Banking-Trojaner verwandeln.
Im Zuge der Shadow-Broker-Leaks wurde die NSA heftig kritisiert. Der Geheimdienst lege sich eine geheime Datenbank mit Exploits und Sicherheitslücken an, ohne die entsprechenden Firmen zu informieren. Aus diesem Grund wurde in der vergangenen Woche im Kongress ein Gesetz vorgelegt , das die Regierung dazu zwingen soll, ihr Cyber-Arsenal an ein unabhängiges Gremium auszuhändigen.
Wannacry: Shadow Brokers wollen weitere Sicherheitslücken veröffentlichen
Autor: Denise Bergert, Autorin
Denise Bergert schreibt seit 2011 als freie IT-Journalistin für pcwelt.de. Ihre Themenschwerpunkte sind Smartphones, Internet, Gaming, Gadgets, Filme, Serien und Security.