Seitens des Security-Unternehmens Symantec legte man neue Belege für die These vor, dass die bereits länger bekannte Lazarus Group hinter der Ransomware steckt. Denn es ist keineswegs so, dass die WannaCry-Malware eine komplett neue Sache wäre. Erste Infektionen lassen sich sogar bis in den Februar zurückverfolgen. Damals fand der Schädling aber kaum Verbreitung, weil er noch nicht mit den richtigen Tools gestreut wurde.
Denn WannaCry kann sich als Wurm zwar selbst verbreiten - nutzt dafür aber eben unsichere Verbindungen über Microsofts SMB-Protokoll. Auf diesem Weg kann man zwar schnell innerhalb eines Firmennetzes vorankommen, aber kaum neue Ziele befallen. Deshalb wurde die Ransomware in den vergangen Monaten bereits von mehreren anderen Trojanern Huckepack zu den initialen Zielen getragen.
Frühe Versionen schon lange unterwegs
Im Februar wurden erste WannaCry-Infektionen in Verbindung mit Trojan.Volgmer und zwei Varianten von Backdoor.Destover gefunden. Im März kursierten Samples der Ransomware auf Trojan.Alphanc. Und in der kommenden Zeit wurden auch noch andere Trojaner gemeinsam mit WannaCry entdeckt. Und all diese Malwares werden bereits länger in Verbindung mit der Lazarus Group gebracht. Hinzu kommt, dass teils Kommando-Server zu ihrer Steuerung eingesetzt wurden, die ziemlich eindeutig zu der Gruppe gehören.Die nun im Mai einsetzende große WannaCry-Welle beruhte im Grunde erneut auf den gleichen Grundlagen, konnte aber durch kleine Änderungen an der Malware den durchschlagenden Erfolg bringen. Zu diesen gehört unzweifelhaft die Verwendung des NSA-Exploits EternalBlue, der den Wurm in den Firmennetzen alle Türen öffnete.
Lazarus wird im Allgemeinen als Gruppe angesehen, die entweder selbst aus Nordkorea stammt, oder aber zumindest irgendwelche Verbindungen zu dem dortigen Regime hat. Denn eine der ersten größeren Aktionen war ein Hack gegen Sony, der als Rache für einen satirischen Film erfolgte. Die Gruppe machte sich aber auch einen Namen damit, dass sie viel Geld von der Zentralbank Bangladeshs entwendete. Angesichts dessen wirkt es aber etwas seltsam, dass Teile der WannaCry-Kampagne extrem stümperhaft umgesetzt wurden.