WannaCry hat seine Drecksarbeit noch nicht beendet. 21. Juni 2017 Honda Motor Co. berichtete, dass sie den Förderer im Werk Sayama (Japan) für einen Tag anhalten musste, nachdem die WannaCry-Krypto-Ransomware auf Computern entdeckt worden war, deren globale Epidemie im letzten Monat vorüberging und zu enden schien.

Das Werk im Nordwesten Tokios funktionierte am Montag, den 19. Juni nicht. An normalen Tagen produzieren sie die kompakten Mehrzweckautos Accord Limousine, Odyssey Minivan und Step Wagon mit einem täglichen Produktionsvolumen von etwa 1000 Autos.

Vertreter von Honda sagten: Am Sonntag wurde festgestellt, dass das Virus Unternehmensnetzwerke in Japan, Nordamerika, Europa, China und anderen Regionen infizierte, obwohl das Unternehmen Mitte Mai, als die globale WannaCry-Epidemie auftrat, Schritte zum Schutz von Computern unternahm.

Der Vertreter des Unternehmens erklärte nicht, wie die WannaCry-Version 37 Tage nach der Registrierung der Domain in das Netzwerk gelangt war, wodurch ein "Stop-Tap" für die Verbreitung der Malware ausgelöst wurde. Möglicherweise haben die Systemadministratoren des Unternehmens den Datenverkehr zu dieser Domäne blockiert. Eine andere Möglichkeit besteht darin, dass im Netzwerk eine neue Version der Crypto Ransomware entdeckt wurde. Sie alle verwenden jedoch dieselbe Sicherheitsanfälligkeit in Windows, und die IT-Abteilung sollte diese Sicherheitsanfälligkeit im Mai schließen.

Die Produktion in anderen Honda-Werken war nicht betroffen, und das Werk in Sayama wurde am Dienstag wieder aufgenommen.

Es sei darauf hingewiesen, dass im Mai andere Autohersteller, darunter Renault SA und Nissan Motor Co., im Mai unter einer Krypto-Ransomware-Welle litten. Diese Allianz stellte die Produktion in ihren Werken in Japan, Großbritannien, Frankreich, Rumänien und Indien ein. Die Produktion in Togliatti wurde normal fortgesetzt.

WannaCry: Wann ist die zweite Welle?

Wann ist mit einer zweiten Welle von WannaCry zu rechnen, die stärker sein könnte als die erste? Niemand kennt die Antwort auf diese Frage, aber Experten sagen eindeutig voraus, dass mit Sicherheit neue Versionen der Crypto Ransomware erscheinen werden. Eine dieser Versionen kann sich verbreiten, und dann wird die Infektionswelle zu einer Epidemie.

Die erste Version von WannCry Mitte Mai infizierte ungefähr 727.000 Computer in ungefähr 90 Ländern, aber seitdem hat sich die Ausbreitung der Gabeln des Wurms erheblich verlangsamt. Die überwiegende Mehrheit der Infektionen trat auf Computern unter Windows 7 auf. Tatsache ist, dass die Sicherheitsanfälligkeit des EternalBlue NSA-Exploits, der online durchgesickert ist und von WannaCry verwendet wird, unter Windows 10 bereits geschlossen ist. Und Windows XP SP3-Computer können den Malware-Code einfach nicht ausführen und fallen in den blauen „Todesbildschirm“ .

Dank eines Mannes konnte die Ausbreitung der Infektion versehentlich gestoppt werden. Dieser Held ist ein 22-jähriger britischer Hacker und Blogger von MalwareTech, dessen Name noch nicht veröffentlicht wurde. Wie er sagte, hatte er an diesem Tag einen Tag frei, wachte gegen 10:00 Uhr auf und loggte sich in das nationale System zur Verfolgung von Cyber-Bedrohungen ein, um die Verbreitung der Bank-Malware Emotet zu beobachten - das bedeutendste Ereignis der letzten Tage. Ich bemerkte nichts Ungewöhnliches und ging zum Frühstück. Als ich gegen 14:30 Uhr nach Hause zurückkehrte, fand ich eine Reihe von Nachrichten über die Infektion verschiedener Krankenhäuser und medizinischer Systeme mit einer Krypto-Ransomware. Solche Infektionen sind schon früher aufgetreten, aber hier, als wäre der Maßstab größer als zuvor. Mit Hilfe seines Freundes, eines Hackers unter dem Spitznamen Kafeine, bekam der Typ schnell ein Beispiel für die Malware, führte sie in einer virtuellen Maschine aus und stellte fest, dass Anforderungen an eine nicht registrierte Domain gesendet wurden.

Statistiken von Cisco Umbrella zeigten, dass Anfragen nach dieser Domain am Freitag um 8:00 Uhr morgens begannen und wie eine Lawine wuchsen. Der Blogger hat eine Domain für sich selbst für 8 Pfund (10,69 US-Dollar) registriert. Dies sei Standard, sagt er. Botnets generieren häufig Domänennamen für Befehlsserver (C2C) nach ihrem eigenen Algorithmus. Der Algorithmus ist Angreifern bekannt, damit sie diese Domain im Voraus registrieren können. Manchmal schaffen es Forscher und Antiviren-Unternehmen, ihnen einen Schritt voraus zu sein, und dann haben sie die Möglichkeit, die Arbeit der Botnet-Kommandozentrale von innen zu studieren, Daten über die geografische Verteilung von Bots zu sammeln und die Software zurückzuentwickeln. Die Registrierung dieser Domains ist also normal. MalwareTech hat im vergangenen Jahr mehrere tausend Domains registriert.

Da alle infizierten Personen auf diese Domain geklopft hatten und die Kontrolle darüber erlangt hatten, konnte der Protokollforscher eine Liste der IP-Adressen und eine Karte der Infektionen erstellen. Am Abend stellte sich heraus, dass es die Domainregistrierung war, die die weitere Verbreitung der Krypto-Ransomware stoppte. Höchstwahrscheinlich haben die Autoren der Malware auf diese Weise Schutz vor der Analyse ihres Programms (Schutz vor der virtuellen Umgebung) implementiert.

Bald nach der ersten wurden die zweite und dritte WannaCry-Variante entdeckt, einschließlich derer, die ohne eine Art „ Stoppkran “ in Form von Anfragen an eine nicht vorhandene Domäne arbeiteten. Sicherlich sind seitdem andere Versionen erschienen. Vielleicht haben einige dieser Versionen die Honda-Fabriken erreicht. Es ist schwer, Ausreden für Honda-Techniker zu finden, die noch keine Patches von Microsoft installiert haben.