Die Spur führt zur Lazarus-Hackergruppe

Offenbar ist dieselbe Hacker-Gruppierung, die 2014 bei Sony einbrach, für Wannacry verantwortlich. Zudem haben Sicherheitsexperten festgestellt, dass hauptsächlich Windows 7 und nicht XP befallen wurde. Unter Umständen lassen sich Daten mit mittlerweile verfügbaren Entschlüsselungstools retten.

Eine Woche nach der großen Ransomware-Welle durch »Wannacry«, der mehr als 200.000 Rechner zum Opfer fielen, zeichnet sich ab, dass die Hintermänner alte Bekannte sein könnten. Sowohl Kaspersky als auch Symantec halten die Hackergruppe Lazarus für verantwortlich, die 2014 bekannt wurde, als sie bei Sony einbrach und große Datenmengen kopierte – darunter private Kontaktdaten von Hollywood-Stars und interne Mails des Sony-Managements. Beide Security-Firmen haben Ähnlichkeiten in Codesequenzen von Wannacry und älteren Angriffstools entdeckt, die der Lazarus-Gruppe zugeschrieben werden. Vor allem eine frühe Wannacry-Variante, die bereits im Februar einige Rechner befiel, soll teilweise denselben Code wie Lazarus-Werkzeuge aus dem Jahr 2015 nutzen.

Hinter dem Angriff auf Sony wurde damals Nordkorea vermutet, das allerdings die Beteiligung an Wannacry zurückweist. Sicherheitsexperten zufolge könnte jedoch die Tatsache, dass der Schädling kaum finanziellen Erfolg hatte, aber großes Chaos anrichtete, auf staatliche Hintermänner hinweisen, wollen diese doch anders als Cyberkriminelle mit ihren Aktivitäten in der Regel kein Geld verdienen. Das allerdings sind nur Indizien – und wofür staatliche Hacker einen extrem offensichtlichen Notausschalter in ihre Malware hätten einbauen sollen, bleibt ebenfalls unklar.

Auch wenn Wannacry es unter anderem auf Windows XP abgesehen hatte und Microsoft deshalb trotz Support-Ende noch einen Patch nachreichte, waren wohl nur sehr wenige Rechner mit dem alten Betriebssystem von der Attacke betroffen. Kaspersky zufolge wurden vor allem Rechner mit Windows 7 infiziert, die Zahl der XP-Systeme sei »irrelevant«. Für die Betroffenen dürfte das nur ein schwacher Trost sein – zumal die Chancen, die Daten wiederzubekommen, weiterhin sehr gering sind. Zwar gibt es mittlerweile ein Entschlüsselungstool namens »Wannakey«, das jedoch nur geringe Erfolgsaussichten bietet. Da es die von Wannacry genutzten Primzahlen aus dem Arbeitsspeicher ausliest und daraus die Schlüssel rekonstruiert, ist es darauf angewiesen, dass der Rechner nach der Infektion nicht ausgeschaltet wurde.

Lesen Sie mehr zum Thema

Weitere Artikel zu Kaspersky Lab GmbH

Kaspersky warnt Unternehmen und Nutzer

Banking-Malware: 3,6-mal mehr Angriffe auf mobile Anwender

Kaspersky: APTs finden viele Opfer

Besorgniserregender Trend bei zielgerichteten Angriffen

Kaspersky warnt vor SideWinder

APT-Gruppe zielt nun auf Atomkraftwerke

Über 2 Millionen Bankkarten im Darknet

Kaspersky: 26 Millionen Windows-Geräte mit Infostealern infiziert

Kaspersky beklagt unzureichenden Schutz

Viele Unternehmen nutzen Sicherheitslösungen für Privatanwender

Weitere Artikel zu Symantec (Deutschland) GmbH Central Europe

Chief Information Security Officer

Check Point beruft CISO für EMEA

Stärkerer Fokus auf DACH-Region

Axis ernennt erstmals einen DACH-Vertriebschef

Tommy Grosche-Nachfolge

Susanne Endress leitet Fortinet-Channel

Nach massivem Ärger im Channel

Arrow soll Symantec-Distribution wieder aufrichten

IT-Sicherheit

Accenture übernimmt Symantecs Geschäft mit Security-Services