WannaCry: Die Fäden der Suche nach dem Ursprung laufen zusammen

Hacker, Tastatur, Maus Bildquelle: Davide Restivo / Flickr
In den vergangenen Tagen haben Sicherheitsforscher nicht nur das Innenleben und die Verbreitung der Ransomware WannaCry untersucht, die weltweit große Schäden angerichtet hat. Auch die Suche nach dem Ursprung des Wurmes lief natürlich auf Hochtouren - und die ersten Vermutungen erhärteten sich mit der Zeit.

Infografik: WannaCry befällt hunderttausende RechnerWannaCry befällt hunderttausende Rechner
Seitens des Security-Unternehmens Symantec legte man neue Belege für die These vor, dass die bereits länger bekannte Lazarus Group hinter der Ransomware steckt. Denn es ist keineswegs so, dass die WannaCry-Malware eine komplett neue Sache wäre. Erste Infektionen lassen sich sogar bis in den Februar zurückverfolgen. Damals fand der Schädling aber kaum Verbreitung, weil er noch nicht mit den richtigen Tools gestreut wurde.

Denn WannaCry kann sich als Wurm zwar selbst verbreiten - nutzt dafür aber eben unsichere Verbindungen über Microsofts SMB-Protokoll. Auf diesem Weg kann man zwar schnell innerhalb eines Firmennetzes vorankommen, aber kaum neue Ziele befallen. Deshalb wurde die Ransomware in den vergangen Monaten bereits von mehreren anderen Trojanern Huckepack zu den initialen Zielen getragen.

Frühe Versionen schon lange unterwegs

Im Februar wurden erste WannaCry-Infektionen in Verbindung mit Trojan.Volgmer und zwei Varianten von Backdoor.Destover gefunden. Im März kursierten Samples der Ransomware auf Trojan.Alphanc. Und in der kommenden Zeit wurden auch noch andere Trojaner gemeinsam mit WannaCry entdeckt. Und all diese Malwares werden bereits länger in Verbindung mit der Lazarus Group gebracht. Hinzu kommt, dass teils Kommando-Server zu ihrer Steuerung eingesetzt wurden, die ziemlich eindeutig zu der Gruppe gehören.

Die nun im Mai einsetzende große WannaCry-Welle beruhte im Grunde erneut auf den gleichen Grundlagen, konnte aber durch kleine Änderungen an der Malware den durchschlagenden Erfolg bringen. Zu diesen gehört unzweifelhaft die Verwendung des NSA-Exploits EternalBlue, der den Wurm in den Firmennetzen alle Türen öffnete.

Lazarus wird im Allgemeinen als Gruppe angesehen, die entweder selbst aus Nordkorea stammt, oder aber zumindest irgendwelche Verbindungen zu dem dortigen Regime hat. Denn eine der ersten größeren Aktionen war ein Hack gegen Sony, der als Rache für einen satirischen Film erfolgte. Die Gruppe machte sich aber auch einen Namen damit, dass sie viel Geld von der Zentralbank Bangladeshs entwendete. Angesichts dessen wirkt es aber etwas seltsam, dass Teile der WannaCry-Kampagne extrem stümperhaft umgesetzt wurden. Hacker, Tastatur, Maus Hacker, Tastatur, Maus Davide Restivo / Flickr
Diese Nachricht empfehlen
Kommentieren24
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 14:45 Uhr Bud Spencer & Terence Hill - Jubiläums-Collection-Box [Blu-ray]Bud Spencer & Terence Hill - Jubiläums-Collection-Box [Blu-ray]
Original Amazon-Preis
85
Im Preisvergleich ab
85
Blitzangebot-Preis
59
Ersparnis zu Amazon 31% oder 26

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden