»Wannacry«-Ransomware: Die Spur führt zur Lazarus-Hackergruppe

Offenbar ist dieselbe Hacker-Gruppierung, die 2014 bei Sony einbrach, für Wannacry verantwortlich. Zudem haben Sicherheitsexperten festgestellt, dass hauptsächlich Windows 7 und nicht XP befallen wurde. Unter Umständen lassen sich Daten mit mittlerweile verfügbaren Entschlüsselungstools retten.

(Foto: tonsnoei - Fotolia)

Eine Woche nach der großen Ransomware-Welle durch »Wannacry«, der mehr als 200.000 Rechner zum Opfer fielen, zeichnet sich ab, dass die Hintermänner alte Bekannte sein könnten. Sowohl Kaspersky als auch Symantec halten die Hackergruppe Lazarus für verantwortlich, die 2014 bekannt wurde, als sie bei Sony einbrach und große Datenmengen kopierte – darunter private Kontaktdaten von Hollywood-Stars und interne Mails des Sony-Managements. Beide Security-Firmen haben Ähnlichkeiten in Codesequenzen von Wannacry und älteren Angriffstools entdeckt, die der Lazarus-Gruppe zugeschrieben werden. Vor allem eine frühe Wannacry-Variante, die bereits im Februar einige Rechner befiel, soll teilweise denselben Code wie Lazarus-Werkzeuge aus dem Jahr 2015 nutzen.

Hinter dem Angriff auf Sony wurde damals Nordkorea vermutet, das allerdings die Beteiligung an Wannacry zurückweist. Sicherheitsexperten zufolge könnte jedoch die Tatsache, dass der Schädling kaum finanziellen Erfolg hatte, aber großes Chaos anrichtete, auf staatliche Hintermänner hinweisen, wollen diese doch anders als Cyberkriminelle mit ihren Aktivitäten in der Regel kein Geld verdienen. Das allerdings sind nur Indizien – und wofür staatliche Hacker einen extrem offensichtlichen Notausschalter in ihre Malware hätten einbauen sollen, bleibt ebenfalls unklar.

Auch wenn Wannacry es unter anderem auf Windows XP abgesehen hatte und Microsoft deshalb trotz Support-Ende noch einen Patch nachreichte, waren wohl nur sehr wenige Rechner mit dem alten Betriebssystem von der Attacke betroffen. Kaspersky zufolge wurden vor allem Rechner mit Windows 7 infiziert, die Zahl der XP-Systeme sei »irrelevant«. Für die Betroffenen dürfte das nur ein schwacher Trost sein – zumal die Chancen, die Daten wiederzubekommen, weiterhin sehr gering sind. Zwar gibt es mittlerweile ein Entschlüsselungstool namens »Wannakey«, das jedoch nur geringe Erfolgsaussichten bietet. Da es die von Wannacry genutzten Primzahlen aus dem Arbeitsspeicher ausliest und daraus die Schlüssel rekonstruiert, ist es darauf angewiesen, dass der Rechner nach der Infektion nicht ausgeschaltet wurde.

Mehr als 98 Prozent der Wannacry-Infektionen betreffen Systeme mit Windows 7
(Foto: Kaspersky)