Die Erpresser-Software -Welle vom Wochenende hat nach Angaben der europäischen Polizeibehörde Europol mindestens 200 000 Computersysteme in 150 Ländern getroffen. Europol-Chef Rob Wainwright sagte dem britischen Sender ITV, die weltweite Reichweite des Cyberangriffs sei ohne Beispiel. Die Attacke habe eine so starke Wirkung entfalten können, weil die Schadsoftware mit einer "Wurmfunktionalität" gekoppelt gewesen sei, die eine automatische Ausbreitung ausgelöst habe. "Die letzten Zählungen ergeben mindestens 200 000 Opfer, darunter viele Firmen, auch große Firmen", sagte Wainwright.
Der Europol-Chef warnte vor einer neuen Welle von Attacken, die zu Beginn des Arbeitsbetriebs am Montag auffallen würden: "Momentan sehen wir uns der Gefahr einer Eskalation gegenüber. Die Zahlen steigen und ich bin besorgt, wie sie sich weiter steigern werden, wenn die Menschen am Montag wieder an ihre Arbeitsplätze gehen und ihre Computer einschalten."
Die Software verschlüsselt alle wichtigen Daten auf der Festplatte ihres Opfers. Dann fordert sie ihn auf, 300 Dollar in der Digitalwährung Bitcoin zu zahlen, um wieder an die Daten zu kommen. Andernfalls verdoppele sich der geforderte Betrag. Am Freitag waren zehntausende Systeme weltweit von der Software befallen worden, darunter auch digitale Anzeigetafeln der Deutschen Bahn. Ein Bahnsprecher sagte, dass die betroffenen digitalen Anzeigetafeln "noch einige Zeit" gestört bleiben würden. Das liege daran, dass die Software der Anzeigetafeln nicht zentral gesteuert werde. Techniker müssten sie in jedem einzelnen Bahnhof reparieren. Betroffen von dem Cyberangriff waren vorübergehend auch die Videoüberwachung an Bahnhöfen sowie vereinzelt Fahrkartenautomaten.
Besonders dramatisch war die Lage in England. Weil viele Krankenhäuser dort mit veralteten, für den Wurm anfälligen Betriebssystemen arbeiten, musste Operationen verschoben werden, Ärzte konnten Patientendaten nicht mehr einsehen und mussten Kranke abweisen. Erst das Eingreifen eines IT-Experten, der eine Art "Notfallschalter in dem Programm entdeckt hatte, verlangsamte den Angriff deutlich ( mehr dazu hier). Bisher haben aber offenbar nur wenige Opfer Lösegeld bezahlt: Am Sonntagmittag stand die Summe bei etwa 30 000 Euro.
Ermöglicht wird ein solcher Angriff durch eine Schwachstelle in Microsofts Betriebssystem Windows, die ursprünglich vom US-Geheimdienst NSA entdeckt worden war. Er hatte basierend auf diesem Wissen Software mit dem Codenamen Eternalblue entwickelt, die die Lücke ausnutzte und den Zugriff auf die Systeme ermöglichte. Im März hatte Microsoft Reparatur-Software für alle noch unterstützten Windows-Versionen zur Verfügung gestellt. Eine Gruppe von Hackern namens Shadow Brokers hatte aber eine große Menge an Dateien der NSA in die Hände bekommen und dann Mitte April ins Netz gestellt, darunter auch Eternalblue. Vermutlich Kriminelle haben nun diese Software mit der Fähigkeit versehen, sich selbst weiterzuverbreiten und Dateien zu verschlüsseln.
Nachrichtendienste nutzen Sicherheitslücken im Internet, um Terroristen zu jagen. Der WannaCry-Hack macht die Nachteile dieses Vorgehens deutlich.
Weil Microsofts Reparatur-Software auf vielen Computern nicht aufgespielt wurde, oder weil darauf eine nicht mehr unterstützte Windows-Version lief, konnte sich der digitale Schädling rasend schnell verbreiten. Hat er einen Rechner befallen, prüft der Wurm, ob auch andere Systeme im selben Netz ebenfalls anfällig sind und kopiert sich weiter.