X

WannaCry: Antivir-Hersteller vermuten Nordkorea hinter dem Angriff

Die Ausbreitung der WannaCry-Ransomware konnte verhältnismäßig schnell gestoppt werden, die Aufarbeitung der Attacke ist mittlerweile voll im Gange. Vor allem wird versucht, die Urheber des Angriffs zu finden, aktuell wird vermutet, dass Nordkorea etwas mit der Sache zu tun hat, auch der Name der (mutmaßlichen) Hackergruppe ist nicht ganz unbekannt: Lazarus.
WannaCry
16.05.2017  09:16 Uhr
Die Lazarus-Gruppe ist in der Szene alles andere als unbekannt, einer breiteren Öffentlichkeit wurden die immer wieder mit Nordkorea in Zusammenhang gebrachten Hacker im Jahr 2014 bekannt. Damals gelang es vermutlich Lazarus (der Hack wurde jedoch nie vollständig aufgeklärt), einen folgenschweren Angriff auf das Filmstudio Sony Pictures durchzuführen. Laut den Analysen von Kaspersky ist es möglich oder sogar wahrscheinlich, dass Lazarus auch für WannaCry verantwortlich ist. Denn die Sicherheitsforscher des russischen Antiviren-Herstellers haben den Code untersucht und dabei auffällige Ähnlichkeiten gefunden.

Keine "Smoking Gun"

Ein eindeutiger Beweis ist das allerdings nicht, denn Kaspersky beruft sich teilweise auf bereits ältere Samples, im Fall von WannaCry aus dem Februar 2017. Gleichzeitig muss man aber auch feststellen, dass ein derartiges Vorgehen beim Untersuchen von Code legitim und normal ist, da Malware üblicherweise im Laufe der Zeit und durch überarbeitete Versionen besser wird, die Hacker verwischen dabei auch gerne ihre Spuren.

WannaCry-Ransomware
Über die weltweit operierende und seit mindestens 2009 aktive Lazarus-Gruppe ist kaum etwas bekannt

Kaspersky schreibt aber auch, dass das natürlich auch eine so genannte "False Flag" sein könnte, also dass hier jemand versucht, eine falsche Fährte zu legen. Dabei ist aber wiederum auffällig, dass der als Beweis dienende Code in späteren Versionen fehlt. Dennoch schreibt Kaspersky im Blog: "In der Theorie ist alles möglich."

Mit dem Verdacht auf Lazarus und Nordkorea steht Kaspersky nicht alleine da, auch die Kollegen von Symantec sehen diese Hacker als vermutlich Verantwortliche: Symantec verweist per Blog ebenfalls auf den gemeinsamen Code, zudem aber auch auf Tools, die "exklusiv von Lazarus verwendet werden". Das Ganze steht auch im Zusammenhang mit der Verbreitung per Server Message Block (SMB), denn frühere Versionen von WannaCry hatten diese Möglichkeit nicht.

Verwandte Themen
Kaspersky
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture