Interesse an iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com? Im Domain-Handel hätte man mit dieser Adresse wohl kaum Millionen verdient. Beim Schadprogramm »WannaCry« diente die Domain dagegen als eine Art Notschalter – und konnte so die Weiterverbreitung binnen kürzester Zeit stoppen.
Angriffe auf den spanischen Telekommunikationskonzern Telefónica, den britischen National Health Service (NHS) mit mehreren Krankenhäusern, das US-Logistikunternehmen FedEx oder die Deutsche Bahn mit ihrer Logistiktochter Schenker – die am 12. Mai 2017 gestartete Cyberattacke von WannaCry, bei der nach bisherigen Erkenntnissen über 230.000 Computer in 150 Ländern infiziert und jeweils Lösegeldzahlungen verlangt wurden, zählt zu den schwerwiegendsten weltweit. Die Software nutzte dabei eine Lücke in Windows, sofern der Nutzer einen seit März 2017 von Microsoft angebotenen Sicherheits-Patch nicht installiert hatte. Das Bundeskriminalamt hat inzwischen die strafrechtlichen Ermittlungen übernommen.
Wie ein Krimi liest sich auch der Bericht des britischen Technikers, der maßgeblich dazu beigetragen hat, die Cyberattacke zu stoppen. Er hatte sich, nachdem die Angriffswelle schon ins Rollen geraten war, über einen Freund ein Muster des Schadprogramms besorgt und dieses untersucht. Dabei entdeckte er in der Software die ungewöhnliche, 41 Zeichen lange und unregistrierte Domain iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Kurzerhand registrierte er diese Domain noch am 12. Mai 2017 über den US-Registrar Namecheap Inc., wobei er einen WHOIS Protection Service nutzte, so dass die »wahren« Daten des Domain-Inhabers im öffentlichen WHOIS nicht sichtbar sind. Die Domain-Registrierung führte dazu, dass die Software unvermittelt damit aufhörte, befallene Rechner zu verschlüsseln. Offenbar verleitete dies die Software zu der Annahme, sich in einer »sandbox«-Umgebung zu befinden, also eine Art isolierte Testumgebung, so dass sie die weitere Verbreitung einstellte.
Ob die Verbreitung von »WannaCry« damit endgültig gestoppt ist, bezweifelt der Techniker jedoch ausdrücklich. So müsse lediglich die Domain aus dem Programmcode entfernt oder gegen eine beliebige andere Domain ausgetauscht werden, schon könnte die nächste Welle losbrechen. Am wichtigsten ist es daher, den von Microsoft angebotenen Patch so schnell wie möglich aufzuspielen und das System damit zu schützen. Dass selbst Cyberkriminelle auf .com und keine (unter Umständen sogar schlechter zu entdeckende) nTLD setzen, mag dann nur noch eine kleine Randnotiz sein.