.svg "publish-industry Verlag GmbH"){kind=logo}
Wannacry - der Name ist Progamm. Für Hunderttausende User auf der ganzen Welt stand dieser Codename vergangenes Wochenende für einen IT-Albtraum. Der Trojaner Wannacry - versteckt in einem E-Mail-Anhang - hat ihre Daten verschlüsselt und forderte per Popup-Fenster Hunderte von Bitcoins, um diese wieder freizugeben.
Jagd auf Cyberkriminelle führt nach Nordkorea
Wannacry war hochansteckend - einmal in einem Netzwerk, griff die Ransomware über jedes erdenkliche Schlupfloch auf andere Systeme über, ob via Kabelverbindungen oder WLAN. Zu den Opfern des Cyberangriffs zählten sogar Konzerne wie die Deutsche Bahn. Die Hacker verbreiteten ihre Botschaften auf Anzeigetafeln an Bahnhöfen. Ein 22-jähriger Brite unter dem Decknamen Malwaretech setzte dem globalen Cyberangriff mit einem banalen Mittel ein Ende - und das aus Versehen.
Die Cyberattacke weist Parallelen zu dem Hackerangriff auf Sony auf. Bei der Analyse früherer Versionen des Wannacry-Trojaner fanden Sicherheitsexperten von Kaspersky und Symantec Quellcode, der auch beim Sony-Hacker aufgetaucht war. Verantwortlich für den Angriff soll die Gruppe Lazarus sein, die aus Nordkorea stammt. Oder handelt es sich bei der hinterlassenen DNA um eine falsche Fährte, die die Hacker absichtlich gelegt hatten? Darüber sind sich Sicherheitsexperten noch uneins.
Hacker waren nicht auf Profit aus, sondern auf ein Statement
Für den Verdacht, dass staatliche Hacker hinter Wannacry stecken, sprechen einige Argumente. Zu einem die epidemieartige Ausbreitung auf der Welt, zum anderen der relativ geringe Erlös, den die Hacker forderten - untypisch für Cyberkriminelle, die in erster Linie Geld verdienen. Daraus lässt sich schließen, dass die verantwortliche Gruppe eher auf Chaos und allgemeine Verwirrung aus war denn auf großen Profit. Zudem passen die betroffenen Länder - Europa, Russland und die USA - zum potenziellen „Beuteschema“ Nordkoreas.
Eine heiße Spur, die ins Leere führt
Doch so einfach ist es nicht, einen derartigen Cyberangriff rückwirkend zu orten. Auch die Vermutungen von Kaspersky & Co. basieren lediglich auf Indizien, die für eine eindeutige Schuldzuweisung nicht ausreichen.
Gegen professionelle Hacker, die von einer Staatsregierung engagiert wurden, spricht die laienhafte Vorgehensweise der Hacker: Dem Angriff lag eine unregistrierte Notaus-URL zugrunde, die recht einfach außer Gefecht gesetzt werden konnte. Ebenfalls verwirrend: Die Erpressertexte scheinen mit Google Translate aus dem Englischen übersetzt worden zu sein - nur die chinesischen nicht. Das könnte auf Verfasser aus China hindeuten.
Woher auch immer der Cyberangriff stammt, übertragen wurde er auf banale Weise durch einen E-Mail-Anhang. Deshalb sollten User trotz der Entwarnung darauf Acht geben, nur Anhänge aus vertrauenswürdigen Quellen herunterzuladen und zu öffnen.
