Weniger als zwei Wochen nachdem anonyme Hacker Software der NSA veröffentlicht haben, sollen fast 200.000 Geräte infiziert sein. Betroffen sind Windows-Computer, die einen bereits veröffentlichten Patch nicht erhalten haben.

Dank eines NSA-Werkzeugs namens „Doublepulsar“ haben Unbekannte in den vergangenen Tagen offenbar fast 200.000 Windows-Computer in aller Welt übernommen. Das haben Sicherheitsforscher von Binary Edge ermittelt, die das Netz täglich nach infizierten Geräten durchsuchen. Besonders stark betroffen sind demnach die Vereinigten Staaten, vor Hongkong und China. Schon zuvor hatten Sicherheitsforscher ermittelt, dass mehr als fünf Millionen Geräte für die NSA-Malware angreifbar sein dürften, obwohl Microsoft bereits einen Patch veröffentlicht hat. Seit die Hacker der Shadow Brokers dieses und andere NSA-Hackingtools veröffentlicht haben, steigt die Zahl der Infektionen aber rasant an.

Dateilose Infektion

Mit Doubepulsar gehörte zu dem von den Shadow Brokers veröffentlichten Material auch ein Code, der es erlaubte, anfällige Windows-Geräte zu übernehmen, um weitere Malware nachzuladen. Dabei funktioniert das Tool dateilos, wird also durch einen Neustart vom infizierten Gerät entfernt, schreibt ArsTechnica. Infizierte Geräte lassen sich dem Register zufolge darüber identifizieren, wie sie auf einen speziellen Ping auf den Port 445 antworten. Auf diese Weise versuchen verschiedene Sicherheitsforscher gegenwärtig zu verfolgen, wie sich die Malware ausbreitet. Microsoft hat aber bereits Zweifel an der Zuverlässigkeit dieser Methode angemeldet.

Nach einigen zehntausend Infektionen in der vergangenen Woche hat Binary Edge am heutigen Montag nun rund 183.000 registriert. Ein Ende der rapiden Zunahme betroffener Geräte scheint nicht in Sicht, handelt es sich doch offenbar um Windows-Computer, die nicht regelmäßig Updates erhalten. Microsoft hatte die als Einfallstor genutzte kritische SMB-Lücke mit dem Patch MS17-010 Mitte März geschlossen.

Quelle: heise.de