1. Startseite
  2. Unternehmen
  3. Medien

  4. Cyberangriff mit „Wanna Cry“: Die Spuren führen nach Nordkorea

Cyberangriff mit „Wanna Cry“Die Spuren führen nach Nordkorea

Devisen für Kim Jong-Un? Hinter der Erpressungssoftware „Wanna Cry“ steckt wohl Nordkorea. IT-Sicherheitsforscher finden neue Indizien. Obwohl die Ransomware viele PCs infiziert hat, fließt das Lösegeld aber spärlich.Christof Kerkmann 23.05.2017 - 16:23 Uhr aktualisiert Artikel anhören

In der Erpressungssoftware kommen Bausteine zum Einsatz, die mit der Hackergruppe Lazarus in Verbindung gebracht werden.

Foto: Reuters

Düsseldorf. Wer steckt hinter dem Cyberangriff, der kürzlich Hunderttausende Computer lahmlegte? Sicherheitsforscher haben neue Indizien gefunden, dass Nordkorea etwas damit zu tun haben könnte: Die Werkzeuge und Infrastrukturen, die bei der Verbreitung der Erpressungssoftware „Wanna Cry“ zum Einsatz kamen, deuteten stark auf die Gruppe Lazarus hin, erklärte der IT-Sicherheitsanbieter Symantec in einem Blogeintrag. Sie stehe mit dem Staat in Verbindung.

„Wanna Cry“ legte Mitte Mai mehr als 240.000 Computer lahm, zum Beispiel in britischen Krankenhäusern, bei großen Konzernen wie Telefónica und Fedex sowie im russischen Innenministerium. Bei der Deutschen Bahn fielen zwischenzeitlich zahlreiche Anzeigentafeln aus. Die unbekannten Täter schleusten die schädliche Software über eine Sicherheitslücke ein und forderten für die Freigabe der Daten ein Lösegeld – zu zahlen in der Digitalwährung Bitcoin. Experten bezeichnen diese Betrugsmasche als Ransomware.

Was ist Ransomware?
Malware ist ein allgemeiner Begriff, der Software bezeichnet, die schädlich ist, wie John Villasenor, Professor an der Universität von Kalifornien, erklärt. Ransomware sei ein Typ von Malware, der in erster Linie Computer übernehme und deren Nutzer daran hindere, an Daten zu gelangen, bis ein Lösegeld dafür gezahlt werde, so Villasenor.
In den meisten Fällen befällt die Ransomware den Computer durch Links oder Anhänge in schädlichen E-Mails, auch bekannt als sogenannte Phishing-Mails. Der beste Tipp sei hierbei, einfach nicht auf Links in E-Mails zu klicken, sagt Jerome Segura von der US-Softwarefirma Malwarebytes, die Softwares gegen die Ransomware anbietet. Ziel der Ransomware sei es, den Nutzer dazu zu bekommen, einen schädlichen Code zu aktivieren. Klicken die Nutzer einmal auf den schädlichen Link oder den Anhang, gelangt die Schadsoftware auf den Computer.
Wie der Name der Ransomware - „ransom“ ist das englische Wort für Lösegeld - nahelegt, nimmt die schädliche Software Daten quasi als Geisel. „Sie findet alle Ihre Dateien, verschlüsselt diese und hinterlässt eine Nachricht“, sagt Peter Reiher, Professor an der Universität von Kalifornien. „Wenn Sie möchten, dass sie entschlüsselt werden, müssen Sie bezahlen.“ Die Ransomware benutzt für die Verschlüsselung einen Schlüssel, den nur der Angreifer kennt. Zahlt der Nutzer das Lösegeld nicht, sind die Dateien oft für immer verloren, weil sie nicht mehr entschlüsselt werden können.Hat die Ransomware einen Computer übernommen, sind die Angreifer mit ihren Forderungen meist sehr direkt, wie Segura sagt. In vielen Fällen ändern sie das Hintergurndbild des Bildschirms des PCs und geben sehr genaue Anweisungen, wie der Nutzer das Geld bezahlen kann. Viele der Hacker verlangen zwischen 300 und 500 Dollar, um die Dateien wieder zu entschlüsseln. Der Preis dafür kann sich auch verdoppeln, wenn nicht innerhalb von 24 Stunden bezahlt wird. Vertreter der Strafverfolgung raten jedoch, kein Lösegeld zu bezahlen.
Der erste Schritt sei es, umsichtig zu sein, so Experten. Eine „perfekt Lösung“ für das Problem gäbe es jedoch nicht, sagt Villasenor. Nutzer sollten regelmäßig ihre Daten sichern und prüfen, dass Sicherheits-Updates installiert werden, sobald diese veröffentlicht werden. Die Attacke von Freitag nutzte eine Sicherheitslücke von Microsoft Windows, für die nach Angaben des Unternehmens bereits Updates bereitgestellt worden waren. Viele Nutzer hatten sie jedoch noch nicht installiert.Nutzer sollten zudem auf schadhafte E-Mails achten, die oft als E-Mails von Firmen oder Menschen getarnt sind, mit denen häufig E-Mail-Kontakt besteht. Es sei wichtig, nicht auf Links oder Anhänge zu klicken, da diese die Ransomware freisetzten, so Villasenor.

Die IT-Sicherheitsforscher von Symantec untersuchten, welche Werkzeuge, Techniken und Infrastrukturen die Angreifer genutzt hatten. Dabei entdeckten sie nach eigenen Angaben „substanzielle Gemeinsamkeiten“ mit früheren Aktivitäten der Gruppe Lazarus, die Experten mit Nordkorea in Verbindung bringen. So seien einige Softwareelemente identisch, zudem sei die Kommunikation teilweise über die gleichen Netzwerke gelaufen.

Es sei daher „höchst wahrscheinlich“, dass sie auch hinter „Wanna Cry“ stecke, erklärten die Symantec-Experten. Die Firma Fireeye bestätigte die Einschätzung gegenüber der Nachrichtenagentur Bloomberg grundsätzlich. Die Funde zeigten mindestens, dass die Erpresser Ressourcen zur Softwareentwicklung mit nordkoreanischen Spionageeinheiten teilten, erklärte Analyst Ben Read.

Die Gruppe ist nach Einschätzung von IT-Sicherheitsforschern bereits seit mehreren Jahren aktiv. So soll sie hinter dem Cyberangriff auf Sony Pictures stehen, bei dem sie 2014 vertrauliche Daten wie E-Mails, Gehaltslisten und unveröffentlichte Filme des Studios erbeutete und online stellte. Womöglich als Rache für die Komödie „The Interview“: In der Satire kommt der nordkoreanische Machthaber Kim Jong-Un zu Tode. Auch der digitale Bankraub bei der Zentralbank von Bangladesch wird mit der Gruppe in Verbindung gebracht. Die Täter erbeuteten dabei 81 Millionen Dollar.

Ransomware: Zahlen oder nicht?
Programme wie Locky, Teslacrypt oder Petya setzen den Nutzer unter Druck: Wenn er nicht zahlt, drohen seine E-Mails, Office-Dokumente und Fotos zu unlesbarem Datenmüll zu werden.
Die Erpresser verlangen in den meisten Fällen zwischen 200 und 800 Euro – es handelt sich also um Summen, die viele Nutzer zahlen können. Überwiesen wird das Geld in der Digitalwährung Bitcoin, die den Kriminellen Anonymität ermöglicht.
Erfahrungsberichte zeigen, dass die Kriminellen nach der Zahlung des Lösegeldes durchaus Daten freigeben. Andernfalls würde ihr Geschäftsmodell mit der Zeit zusammenbrechen. Experten warnen allerdings, dass es häufig auch nicht klappt – das Geld ist trotzdem verloren.
Allerdings ist im Umgang mit Kriminellen nichts garantiert. Zudem sorgen Opfer mit ihren Zahlungen dafür, dass das Geschäftsmodell floriert – und so für die kriminellen Hacker ein Anreiz besteht, weiterzumachen. Es ist also eine Abwägung, die Betroffene vornehmen müssen.
Die Hacker setzen die Verschlüsselungstechnik oft nicht richtig ein. Dann haben Experten die Möglichkeit, sie zu umgehen und so die Daten wiederzustellen. Die Website id-ransomware.malwarehunterteam.com zeigt, ob ein Trojaner zu knacken ist.
Bis Experten eine Möglichkeit entwickelt haben, um die Ransomware zu umgehen, kann allerdings etwas Zeit vergehen. Wer die Daten unbedingt braucht, wird darin also keine Alternative sehen.
Die Erkenntnis ist banal, aber immer noch nicht weit verbreitet: Der beste Schutz gegen Ransomware sind regelmäßige Back-ups, also Datensicherungen. Selbst wenn andere Schutzmaßnahmen nicht greifen sollten, sind Nutzer nicht erpressbar.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fordert Ransomware-Opfer dazu auf, bei der Polizei eine Anzeige zu erstatten. Das hilft dabei, ein genaueres Bild vom Ausmaß der Kriminalität zu bekommen. Nutzer sollten dafür den Sperrbildschirm abfotografieren und rekapitulieren, was zur Infektion geführt haben könnte.

Eine eindeutige Zuordnung des Cyberangriffs ist allerdings unmöglich – in der digitalen Welt lassen sich Spuren leicht verwischen oder fälschen. Nordkorea bestritt denn auch bereits vor einigen Tagen, als erste Vorwürfe öffentlich wurden, jedwede Beteiligung. Allerdings würde der massenhafte Erpressungsversuch durchaus ins Muster passen: Der Auslandsgeheimdienst unterhält nach einem Bericht der Nachrichtenagentur Reuters eine Gruppe namens „Einheit 180“, die mit Cyberangriffen nicht zuletzt Devisen beschaffen soll.

Damit sei das Land erfolgreicher als mit Drogenhandel, Fälschungen oder Schmuggel, sagte der Nordkoreaexperte James Lewis der Agentur. Ähnlich äußerte sich der frühere Informatikprofessor Kim Heung Kwang, der 2004 nach Südkorea überlief. „Einheit 180“ greife Banken an und hebe Geld von Konten ab. Die Hacker arbeiteten vom Ausland aus, um keine Spuren zu hinterlassen.

Infografik zu Big Data – Big Business

Sie wissen so viel

Im aktuellen Fall läuft die Devisengewinnung jedoch schleppend. Während die Software zahlreiche Computer lahmlegte, gelang es den Tätern bislang nicht, große Summen zu erpressen – nach Einschätzung von Experten sind es bislang umgerechnet rund 110.000 Dollar. Das geht aus einer Analyse der Bitcoin-Konten vor, auf die Erpressungsopfer das Lösegeld überweisen sollen. Die Digitalwährung ermöglicht zwar Anonymität, alle Zahlungen sind aber öffentlich nachvollziehbar.

Über die Gründe spekuliert die Fachwelt derzeit. Einerseits weist die Software eklatante Schwächen auf. So nutzen die Kriminellen nur drei Bitcoin-Konten. Daher müssen sie alle Überweisungen zunächst einzeln überprüfen, bevor sie die Daten auf einem Computer wieder freigeben. Darauf deuten vereinzelte Berichte hin, etwa beim Online-Magazin Quartz. Aufgrund der großen Verzögerung zahlen viele Opfer womöglich nicht. Andere Erpressungsprogramme weisen jedem Opfer ein eigenes Bitcoin-Konto zu und wickeln die Freigabe automatisch ab.

Verwandte Themen
Nordkorea
Bitcoin
NSA
Deutsche Bahn

Andererseits könnte es sich um eine Ablenkung handeln. Der IT-Sicherheitsspezialist Proofpoint hat ein Programm namens „Adylkuzz“ entdeckt, das die gleichen Sicherheitslücken ausnutzt wie „Wanna Cry“. Das arbeitet jedoch im Verborgenen: Es nutzt die Rechenleistung der infizierten Computer, um die virtuelle Währung Monero zu erzeugen – und bremst damit die Systeme, wie das Unternehmen in einem Blogeintrag erläutert. Endgültig sagen lässt sich das indes nicht. „Es ist schwierig, in die Köpfe der Angreifer zu gucken”, sagte Symantec-Analyst Dick O’Brien dem Handelsblatt. Ob sie amateurhaft vorgegangen seien oder andere Ziele hätten, darüber könne man nur spekulieren.

Lazarus nutzte für den Angriff eine Sicherheitslücke aus dem Fundus der NSA. Der US-Geheimdienste hatte sie mehrere Jahre für heimliche Überwachung genutzt, bis eine Hackergruppe namens Shadow Brokers sie öffentlich machte und damit auch anderen Gruppen Zugriff verschaffte. Dass nun auch andere Kriminelle diese Lücke nutzen, hält O’Brien für unwahrscheinlich: „Wanna Cry“ sei so erfolgreich, dass viele Firmen und Privatleute jetzt die Software aktualisieren oder die Computer vom Netz nehmen. „Ein professioneller Angreifer denkt sich jetzt wahrscheinlich, dass die Gelegenheit vorbei ist.“

Allerdings veröffentlichten die „Schattenhändler” auch andere Angriffswerkzeuge der NSA. „Angesichts großer Reichweite und Wirkung von ‚Wanna Cry‘ ist davon auszugehen, dass andere Cyberkriminelle gerade die Daten durchkämmen“, sagte O’Brien. Wie erfolgreich sie damit sind, werden die nächsten Wochen und Monate zeigen.

Zur Startseite Nachricht an die Redaktion
Mehr zum Thema
Bitcoin
Wichtigste Kryptowährung steigt über die Marke von 95.000 Dollar
Dow Jones, S&P 500, Nasdaq
Wall Street schließt nach Inflationsdaten mit Verlusten – Silber überholt Nvidia als zweitwertvollster Vermögenswert
Kryptowährung
Volksbank testet Bitcoins als Sicherheit bei Kreditvergabe
Bitcoin und Co.
Das sind die größten Kryptowährungen 2026
Banken
Genobanken können Kryptohandel starten – DZ Bank nimmt Hürde
Pivatanleger-Jahresumfrage
Das Börsenjahr 2026 könnte besser laufen als befürchtet
Interview
Eric Trump warnt: „Wenn Deutschland nicht reagiert, wird es wegen China keine Autoindustrie mehr haben“
Märkte
Krisenwährung Gold steigt als Reaktion auf Venezuela-Krise – Der Ölpreis fällt
Unsere Partner
Anzeige
remind.me
Jetziges Strom-/Gaspreistief nutzen, bevor die Preise wieder steigen
Anzeige
Homeday
Immobilienbewertung von Homeday - kostenlos, unverbindlich & schnell
Anzeige
IT Boltwise
Fachmagazin in Deutschland mit Fokus auf Künstliche Intelligenz und Robotik
Anzeige
Presseportal
Direkt hier lesen!
Anzeige
STELLENMARKT
Mit unserem Karriere-Portal den Traumjob finden
Anzeige
Expertentesten.de
Produktvergleich - schnell zum besten Produkt