Gemeinsamkeiten im Code

WannaCry: Neue Spuren führen nach Nordkorea

Geschätzte Lesezeit: unter einer Minute

Foto von Sandra Spönemann

von Sandra Spönemann (@die_spoent_wohl)-

Die Sicherheitsexperten von Symantec sind den Übeltätern hinter der WannaCry-Attacke möglicherweise auf die Schliche gekommen. Übereinstimmungen hinsichtlich des Programmcodes mit älteren Malware-Angriffen weisen in die Richtung der Lazarus Group, einer bekannten Hackertruppe.

Bereits vor dem weltweiten Befall von Rechnern mit der WannaCry-Ransomware am 12. Mai gab es laut Symantec ein paar zielgerichtete Attacken durch eine Vorgängerversion der Erpressungs-Software. Den Programmcode dieser frühen WannaCry-Version untersuchten die Sicherheitsforscher hinsichtlich ihrer Infrastruktur sowie verwendeter Techniken und Tools. Dabei kamen Überschneidungen zu Codes ans Licht, die man bereits von Malware der Lazarus Group kannte.

In den letzten Dekaden wurden mehrere Cyber-Verbrechen dieser Hackergruppe zugeordnet, deren Mitglieder bis dato unbekannt sind. Seit einer Reihe von Hackerangriffen in den Jahren 2009 bis 2012, bekannt unter dem Namen "Operation Troy", wird die Gruppierung allerdings mit der nordkoreanischen Regierung in Verbindung gebracht. Vor allem deshalb, weil die DDoS-Attacke das Ausspionieren Südkoreas zum Ziel hatte.

Erste WannaCry-Attacken schon im Februar

Erste Beweise für die Existenz von WannaCry fand Symantec bereits am 10. Februar 2017, als ein Unternehmen von der schädlichen Software infiziert worden war. Innerhalb von zwei Minuten nach der Infektion des Systems befand sich das kriminielle Programm bereits auf 100 Computern. Eine Analyse des Vorgangs förderte zwei verdächtige Dateien zutage: mks.exe und hptasks.exe. Diese erlaubten den Zugriff auf passwortgeschützte Dateien sowie das Kopieren und Ausführen von WannaCry auf weiteren Netzwerkrechnern.

Hier erfährst du mehr über: Sicherheit

Sag uns deine Meinung!