WannaMine: Der unsichtbare Kryptominer, der PCs in die Knie zwang

Ende 2017 und Anfang 2018 verbreitete sich eine neue Art von Bedrohung in Unternehmensnetzwerken weltweit: WannaMine, ein Kryptominer, der denselben berüchtigten EternalBlue-Exploit nutzte wie die verheerende WannaCry-Ransomware. Doch statt Dateien zu verschlüsseln und Lösegeld zu fordern, arbeitete WannaMine im Verborgenen: Die Malware schürfte die Kryptowährung Monero und nutzte dafür die volle Rechenleistung infizierter Computer. Das Besondere: WannaMine war eine sogenannte „Fileless Malware" – sie schrieb keine Dateien auf die Festplatte, sondern existierte ausschließlich im Arbeitsspeicher und in der Windows-Registry.

Der Vorfall

Im Oktober 2017 dokumentierten Sicherheitsforscher von Panda Security erstmals eine Malware-Kampagne, die den EternalBlue-Exploit (CVE-2017-0144) nutzte, um sich in Netzwerken zu verbreiten – aber anstatt Ransomware zu installieren, einen Monero-Miner ausführte. CrowdStrike gab der Malware im Februar 2018 den Namen „WannaMine" und veröffentlichte eine detaillierte Analyse.

WannaMine verbreitete sich rasant. Die Malware nutzte nicht nur EternalBlue zur Verbreitung über das Netzwerk, sondern auch gestohlene Anmeldedaten (via Mimikatz), um sich auf weitere Windows-Rechner zu bewegen. Einmal im Netzwerk, infizierte WannaMine innerhalb von Stunden sämtliche erreichbaren Windows-Rechner.

Die Auswirkungen waren subtil, aber verheerend: Infizierte Rechner wurden extrem langsam. Die CPU-Auslastung lag dauerhaft bei 100 Prozent. Lüfter liefen auf Höchstleistung. Programme starteten nicht mehr oder froren ein. In Unternehmen häuften sich die Support-Tickets wegen „langsamer Computer" – doch die IT-Abteilungen fanden zunächst nichts Verdächtiges, weil keine verdächtigen Dateien auf den Festplatten lagen.

Die Stromkosten explodierten in betroffenen Unternehmen. Bei einem dokumentierten Fall in einem mittelständischen Unternehmen stieg die Stromrechnung um über 30 Prozent. Laptops überhitzten und erlitten Hardwareschäden. Die Produktivitätsverluste waren enorm, da Mitarbeiter an kaum noch nutzbaren Rechnern arbeiten mussten.

Wie der Angriff funktionierte

WannaMine ist ein Paradebeispiel für einen mehrstufigen, dateilosen Angriff:

Stufe 1 – Die initiale Infektion: Der erste Rechner im Netzwerk wurde typischerweise über eine Phishing-E-Mail mit einem bösartigen Office-Dokument oder einer kompromittierten Website infiziert. Das Dokument enthielt ein Makro, das einen PowerShell-Befehl ausführte. Dieser PowerShell-Befehl lud keinen herkömmlichen Virus herunter, sondern führte Code direkt im Arbeitsspeicher aus.

Stufe 2 – Die Persistenz ohne Dateien: WannaMine nutzte eine Technik namens „WMI Persistence" (Windows Management Instrumentation). Die Malware registrierte ein WMI-Event-Abonnement, das bei jedem Systemstart automatisch einen PowerShell-Befehl ausführte. Dieser Befehl und der gesamte Schadcode wurden in der Windows-Registry gespeichert – nicht als Datei auf der Systempartition. Die einzigen permanenten Spuren waren Registry-Schlüssel und WMI-Einträge.

Stufe 3 – Die Verbreitung im Netzwerk: Sobald ein Rechner infiziert war, nutzte WannaMine zwei Methoden zur Verbreitung: den EternalBlue-Exploit (der eine Schwachstelle im SMB-Protokoll von Windows ausnutzt) und Mimikatz (ein Tool zum Extrahieren von Passwörtern aus dem Windows-Speicher). Mit den gestohlenen Anmeldedaten loggte sich WannaMine auf weiteren Rechnern ein und wiederholte den Prozess.

Stufe 4 – Das Kryptomining: Der eigentliche Mining-Code – ein XMRig-basierter Monero-Miner – wurde ebenfalls im Arbeitsspeicher ausgeführt. Er nutzte alle verfügbaren CPU-Kerne, um Kryptowährungs-Blöcke zu berechnen. Die geschürfte Monero-Währung wurde an die Wallets der Angreifer übertragen.

Warum Virenscanner versagten

WannaMine war speziell darauf ausgelegt, traditionelle Sicherheitslösungen zu umgehen:

• Keine Dateien = keine Datei-Scans. Herkömmliche Virenscanner untersuchen Dateien auf der Systempartition. WannaMine existierte nur im Arbeitsspeicher und in der Registry. Es gab buchstäblich nichts zu scannen. Dateisystem-basierte Scanner waren blind.
• PowerShell ist ein legitimes Windows-Tool. WannaMine nutzte ausschließlich eingebaute Windows-Werkzeuge: PowerShell für die Code-Ausführung, WMI für die Persistenz, SMB für die Netzwerkverbreitung. Das Blockieren dieser Tools hätte den normalen IT-Betrieb unmöglich gemacht.
• Kein bekanntes Malware-Muster. WannaMine verwendete verschlüsselte und verschleierte PowerShell-Skripte. Jede Instanz war anders kodiert. Signatur-basierte Erkennung griff nicht.
• CPU-Auslastung allein ist kein Alarmsignal. Viele legitime Prozesse können die CPU voll auslasten – Windows Update, Virenscans, Softwareinstallationen, Videobearbeitung. Ein Virenscanner kann nicht jeden Prozess mit hoher CPU-Nutzung als Malware einstufen.
• Mining-Software ist nicht per se illegal. Viele Menschen schürfen bewusst Kryptowährung. Virenscanner behandeln Mining-Software daher oft nur als PUP (Potentially Unwanted Program) und nicht als Malware.

So hätte Deep Freeze geschützt

Deep Freeze ist besonders wirksam gegen Fileless Malware wie WannaMine – und zwar aus einem überraschenden Grund:

1. Die WMI-Persistenz wäre eliminiert worden. Obwohl WannaMine keine Dateien auf die Festplatte schrieb, speicherte es seinen Persistenzmechanismus in der Windows-Registry und in WMI-Datenbanken. Beide befinden sich auf der Systempartition und werden von Deep Freeze beim Neustart zurückgesetzt. Die gesamte Persistenzschicht von WannaMine wäre nach einem Neustart verschwunden.

1. Der Miner selbst wäre gestoppt worden. Der im Arbeitsspeicher laufende Mining-Code wird beim Neustart automatisch beendet. Da der Persistenzmechanismus (WMI-Event) von Deep Freeze gelöscht wurde, kann der Miner beim nächsten Start nicht erneut geladen werden.

1. Gestohlene Anmeldedaten wären wertlos geworden. Mimikatz extrahiert Passwort-Hashes aus dem Arbeitsspeicher. Diese werden für die laterale Bewegung verwendet. Wenn die kompromittierten Rechner nach dem Neustart im Originalzustand sind, müssen die Angreifer die Anmeldedaten erneut stehlen – was wiederum Mimikatz erfordert, das ebenfalls nicht mehr vorhanden ist.

1. Die Netzwerkverbreitung wäre unterbrochen worden. WannaMine nutzte infizierte Rechner als Sprungbretter. Wenn diese Rechner täglich durch Deep Freeze zurückgesetzt werden, verliert die Malware ihre Basis im Netzwerk. Die Verbreitung wird bei jedem Neustart unterbrochen.

1. Die gesamte Angriffskette bricht zusammen. WannaMine konnte nur funktionieren, weil es sich dauerhaft auf Rechnern einnisten konnte. Deep Freeze macht genau das unmöglich. Nach dem Neustart: kein WMI-Event, kein PowerShell-Skript in der Registry, kein Mining, keine Weiterverbreitung.

Die Lehre

• Fileless Malware umgeht klassische Virenscanner komplett. Wenn es keine Datei gibt, gibt es nichts zu scannen. WannaMine bewies, dass Angreifer vollständig ohne Dateien operieren können.
• Legitime Windows-Tools werden als Waffen eingesetzt. PowerShell, WMI und SMB sind mächtige Werkzeuge – und genau deshalb werden sie von Angreifern missbraucht. Du kannst sie nicht einfach deaktivieren.
• Kryptominer sind keine harmlose Belästigung. Die Folgen reichen von Produktivitätsverlust über erhöhte Stromkosten bis zu Hardwareschäden durch Überhitzung.
• Deep Freeze ist besonders effektiv gegen Fileless Malware. Paradoxerweise schützt die eingefrorene Systempartition am besten gegen Malware, die gar nicht auf der Systempartition liegt – weil sie den Persistenzmechanismus zerstört, der die Malware nach einem Neustart wieder aktivieren würde.
• Tägliche Neustarts sind Deine beste Verteidigung. Je häufiger ein eingefrorener Rechner neu gestartet wird, desto kürzer ist das Zeitfenster, in dem Malware aktiv sein kann.