X

WannaCry: Die Fäden der Suche nach dem Ursprung laufen zusammen

In den vergangenen Tagen haben Sicherheitsforscher nicht nur das Innenleben und die Verbreitung der Ransomware WannaCry untersucht, die weltweit große Schäden angerichtet hat. Auch die Suche nach dem Ursprung des Wurmes lief natürlich auf Hochtouren - und die ersten Vermutungen erhärteten sich mit der Zeit.
23.05.2017  08:47 Uhr
WannaCry befällt hunderttausende Rechner Infografik: WannaCry befällt hunderttausende Rechner

Seitens des Security-Unternehmens Symantec legte man neue Belege für die These vor, dass die bereits länger bekannte Lazarus Group hinter der Ransomware steckt. Denn es ist keineswegs so, dass die WannaCry-Malware eine komplett neue Sache wäre. Erste Infektionen lassen sich sogar bis in den Februar zurückverfolgen. Damals fand der Schädling aber kaum Verbreitung, weil er noch nicht mit den richtigen Tools gestreut wurde.

Denn WannaCry kann sich als Wurm zwar selbst verbreiten - nutzt dafür aber eben unsichere Verbindungen über Microsofts SMB-Protokoll. Auf diesem Weg kann man zwar schnell innerhalb eines Firmennetzes vorankommen, aber kaum neue Ziele befallen. Deshalb wurde die Ransomware in den vergangen Monaten bereits von mehreren anderen Trojanern Huckepack zu den initialen Zielen getragen.

Frühe Versionen schon lange unterwegs

Im Februar wurden erste WannaCry-Infektionen in Verbindung mit Trojan.Volgmer und zwei Varianten von Backdoor.Destover gefunden. Im März kursierten Samples der Ransomware auf Trojan.Alphanc. Und in der kommenden Zeit wurden auch noch andere Trojaner gemeinsam mit WannaCry entdeckt. Und all diese Malwares werden bereits länger in Verbindung mit der Lazarus Group gebracht. Hinzu kommt, dass teils Kommando-Server zu ihrer Steuerung eingesetzt wurden, die ziemlich eindeutig zu der Gruppe gehören.

Die nun im Mai einsetzende große WannaCry-Welle beruhte im Grunde erneut auf den gleichen Grundlagen, konnte aber durch kleine Änderungen an der Malware den durchschlagenden Erfolg bringen. Zu diesen gehört unzweifelhaft die Verwendung des NSA-Exploits EternalBlue, der den Wurm in den Firmennetzen alle Türen öffnete.

Lazarus wird im Allgemeinen als Gruppe angesehen, die entweder selbst aus Nordkorea stammt, oder aber zumindest irgendwelche Verbindungen zu dem dortigen Regime hat. Denn eine der ersten größeren Aktionen war ein Hack gegen Sony, der als Rache für einen satirischen Film erfolgte. Die Gruppe machte sich aber auch einen Namen damit, dass sie viel Geld von der Zentralbank Bangladeshs entwendete. Angesichts dessen wirkt es aber etwas seltsam, dass Teile der WannaCry-Kampagne extrem stümperhaft umgesetzt wurden.
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture