Spuren des "WannaCry"-Virus führen nach Nordkorea

“WannaCry”-Cyber-Angriff könnte Ablenkungsmanöver sein

Dienstag, 16. Mai 2017 | 20:42 Uhr

Die weltweite Cyber-Attacke “WannaCry” ist laut Experten wegen einiger Amateur-Fehler der Angreifer vergleichsweise glimpflich verlaufen. “Die Gruppierung dahinter hat offenbar nicht viel Erfahrung”, sagte der IT-Sicherheitsexperte Christoph Fischer aus Karlsruhe am Dienstag. Nach Einschätzung von IT-Spezialisten könnte der Angriff durch “WannaCry” ein Ablenkungsmanöver von Kriminellen sein.

Experten der Firma Proofpoint haben nach eigenen Angaben eine neue Angriffsart entdeckt, die mit “WannaCry” in Verbindung stehen soll. “Und auch diese nutzt die von der NSA gesammelten und dann gestohlenen Sicherheitslücken aus”, sagte Proofpoint-Managerin Monika Schaufler am Dienstag. Zwei Mitarbeiter des Unternehmens hatten gemeinsam mit dem britischen IT-Forscher Marcus Hutchins mit Hilfe eines Tricks die Verbreitung von “WannaCry” am Wochenende vorerst gestoppt.

Der neue Angriff “Adylkuzz” verfolge jedoch ein ganz anderes Ziel und arbeite im Verborgenen, teilten die Forscher mit. Auf den infizierten Rechnern werde im Hintergrund das virtuelle Geld Monero erzeugt. “Das ist für die Betrüger weitaus profitabler als ein Erpresserangriff wie etwa “WannaCry””, sagt Schaufler. Die sogenannte Kryptowährung werde auf Marktplätzen im Darknet, einem anonymen Teil des Internets, für den Handel von Drogen, Kreditkarten oder gefälschten Waren genutzt.

Die Gefahr ist nach Einschätzung von Ermittlungsbehörden noch längst nicht gebannt. Die Verbreitung des Virus sei in Europa zwar gestoppt, sagte eine Sprecherin der europäischen Polizeibehörde Europol am Dienstag der “Financial Times”. “Aber wir glauben nicht, dass dies das Ende der Krise ist.” Die Hacker hätten Schadsoftware entwickelt und würden das voraussichtlich auch weiter tun.

So ist laut “Financial Times” bereits eine weitere, ebenfalls ursprünglich von der amerikanischen Spionagebehörde NSA stammende Cyber-Waffe im Darknet, einem anonymen Bereich des Internets, aufgetaucht. Sie basiere auf dem Hacker-Werkzeug “Esteem Audit”, das wie “WannaCry” eine Lücke in älteren Versionen von Microsofts Betriebssystem Windows ausnutzt.

Analysen des amerikanischen Sicherheitsspezialisten Fortinet zufolge nutzt “Esteem Audit” Schwachstellen in Microsofts Windows Server 2003 und dem alten Windows XP, das der Softwarekonzern seit längerem nicht mehr unterstützt. Wegen des Angriffs durch “WannaCry” hatte Microsoft jedoch am vergangenen Wochenende noch ein Update veröffentlicht. Demnach zielt der Schadcode auf die Authentifizierungs-Funktion über Smart Cards.

Die weltweite Attacke mit “WannaCry” am Wochenende sei das erste Mal gewesen, bei dem Erpressungs-Software mit der Technik eines Computer-Wurms für die schnelle Verbreitung kombiniert worden sei, teilten Experten von McAfee mit. Eine Reihe von Programmierfehlern hat die Verbreitung nach Einschätzung von Analysten aber ausgebremst.

So hatte das Schadprogramm, das Hacker vor einigen Wochen vom US-Geheimdienst NSA entwendet und veröffentlicht hatten, einen eingebauten “Ausschaltknopf”, der den Infektionsweg stoppen konnte. Ein britischer IT-Spezialist hatte diesen zufällig gefunden und so die weitere Ausbreitung beendet: Mit einer Investition von rund zehn Euro registrierte der 22-jährige Marcus Hutchins eine Domain, die der Schadcode stets kontaktiert hatte. Sobald das Schadprogramm eine Antwort von der Domain bekam, stoppte “WannaCry” die Aktivitäten.

Als Indiz für mangelnde Professionalität gilt auch das vergleichsweise geringe Lösegeld, dass die Angreifer über die digitale Währung Bitcoin vermutlich eingestrichen haben. Dieser Punkt könnte auch gegen Vermutungen sprechen, Nordkorea stecke hinter der Attacke. “Kim Jong Un will Milliarden bewegen und sich nicht tröpfchenweise ernähren”, sagte Fischer.

IT-Sicherheitsexperten von Symantec und Kaspersky waren auf Ähnlichkeiten von “WannaCry” und früheren Schadcodes gestoßen, die unter anderem für einen Angriff gegen Sony Pictures Entertainment vor rund drei Jahren verwendet wurden. Analysen der Attacken hatten die Vermutung nahegelegt, dass die Spur nach Nordkorea führen könnte. Die für die Angriffe genutzten Werkzeuge seien jedoch allesamt im Internet für alle verfügbar, sagte IT-Sicherheitsexperte Fischer.

Laut Experten ist die “WannaCry”-Attacke möglicherweise wegen einiger Amateur-Fehler der Angreifer vergleichsweise glimpflich verlaufen. “Die Gruppierung dahinter hat offenbar nicht viel Erfahrung”, sagte der IT-Sicherheitsexperte Christoph Fischer aus Karlsruhe am Dienstag. “Die Attacke hatte Schwachstellen, die jetzt aber auch von der guten Seite ausgenutzt werden können.” Auch das Magazin “Wired” wies darauf hin, dass eine Reihe von Programmierfehlern die Erpressungssoftware nach Einschätzung von Analysten ausgebremst haben dürfte.

Unterdessen hat eine in den “WannaCry”-Angriff verwickelte Hackergruppe die Veröffentlichung von Daten aus dem Swift-Bankensystem und diversen Atomprogrammen sowie den Verkauf hochgefährlicher Schadsoftware angekündigt. Die Shadow Brokers erklärten am Mittwoch in einem Blog, sie bereiteten eine monatliche Freigabe von Dateien vor.

Dabei sollten ab Juni Daten von Banken, die an Swift teilnehmen, und von den Atom- und Raketenprogrammen von Nordkorea, Russland, China und dem Iran publik gemacht werden. Zudem sei man bereit, gegen Geld Werkzeuge zur Nutzung von bisher unveröffentlichten Schwachstellen bei Windows 10 und anderen Zielen wie Internet-Browser und Mobiltelefonen weiterzugeben. Einige Sicherheitsexperten wie Matthieu Suiche von Comae Technologies gehen davon aus, dass die Shadow Brokers Zugang zu Dateien des US-Geheimdienstes NSA haben.

“WannaCry” hat seit dem Wochenende in rund 150 Ländern mindestens 200.000 Organisationen und Privatnutzer getroffen und alle Daten auf den infizierten Rechnern verschlüsselt. Sie sollten erst nach Zahlung eines Lösegelds wieder freigeschaltet werden. Zu den Opfern zählten in Großbritannien unter anderem mehrere Krankenhäuser, in Deutschland waren laut Berliner Staatsanwaltschaft unter anderem 450 Rechner der Deutschen Bahn zur Zielscheibe geworden. China zählte rund 30.000 Opfer und rund 200.000 angegriffene Computer.

Von: APA/ag./dpa

Kommentare

Hinterlasse einen Kommentar

7 Kommentare auf "“WannaCry”-Cyber-Angriff könnte Ablenkungsmanöver sein"


Sortiert nach:   neuste | älteste | Relevanz
Gredner
Gredner
Tratscher
1 Monat 7 Tage

Nordkorea?!? Das ich nicht lache. Die haben ja nur 3 alte PCs, ein 56K-Modem und so gut wie Null Computerkenntnisse.

Neumi
Neumi
Superredner
1 Monat 7 Tage
Unterschätz nicht, was sie alles ins Militär stecken. Zudem sind Computerkenntnisse sind im Vergleich zu anderen Ausbildungen relativ billig. Außerdem können sie Programmierer auch jederzeit in umliegenden Ländern (Indien) engagieren. Ich glaub aber auch nicht an die Nordkorea-Theorie. Wenn überhaupt, dann handelt es sich um Nachahmungstäter. Ähnlichkeiten zum Sony-Hack sehe ich persönlich wenige, der Angriff damals war gezielt, verursachte keinen Kollateralschaden. Dieser neue Angriff ist weit gefächert, auch die Verbreitung funktioniert andes, es handelt sich hierbei um ein “echtes” Virus, das sich selbstständig weiterverbreitet und nicht nur durch blöde User, die Mail-Anhänge anklicken. Ich dachte schon, so was gibt’s nicht… Weiterlesen »
Mistermah
Mistermah
Superredner
1 Monat 6 Tage

Die Spur führt immer zu jenen die auf der abschussliste stehen 😉

enkedu
enkedu
Universalgelehrter
1 Monat 7 Tage

lustig 😂

ThunderAndr
ThunderAndr
Universalgelehrter
1 Monat 7 Tage

Und dann haben die vor den paar Atombomben vom Dicken Angst, mit so einer Cyberattacke kann man weltweit gleichzeitig zuschlagen.

Pazzoide
Pazzoide
Grünschnabel
1 Monat 6 Tage

mutmaßungen, spekulationen, annahmen… nichtsdestotrotz, auf nach nordkorea zur terrorbekämpfung…

Mistermah
Mistermah
Superredner
1 Monat 6 Tage

Intressant ist nur das alles immer aus den NSA datenklau stammt. Sie besitzen also die Werkzeuge alles lahmzulegen. Kein Wunder das Internet war ja ursprünglich vom us Militär. Das macht mich sehr nachdenklich 🤔

wpDiscuz