WannaCry: Und das soll Nordkorea gewesen sein?

Der britische IT-Experte Marcus Hutchins hat den Ausschalter für WannaCry gefunden: Er registrierte einfach eine Webseite, um den Trojaner zu stoppen.

Foto: Frank Augstein/AP/dpa

Die IT-Experten von Sicherheitsfirmen wie Symantec und Kaspersky haben in den Quellcodes der WannaCry-Software Passagen gefunden, die schon in der Ransomware enthalten war, mit der im November 2014 Sony Pictures erpresst worden war.

2014 griffen koreanische Hacker Sony Pictures an

Hacker hatten die gesamte IT-Infrastruktur bei Sony Pictures für mehrere Tage lahmgelegt. Auf den Arbeitsplatzrechnern erschien die Meldung, die Geräte seien von einer Gruppe namens Guardians of Peace gekapert worden. Die erbeuteten Daten – mehrere Terabyte – landeten anschließend im Internet. Neben Filmen erschienen dort auch Gehaltslisten und E-Mails. Auch ein noch unveröffentlichtes Drehbruch für einen James-Bond-Film erbeuteten die Hacker damals.

Screenshot eines mit dem Trojaner Locky infizierten Windows-PC: In der Schadsoftware von WannaCry haben IT-Experten Programmschnipsel gefunden, die auf koreanische Hacker hindeuten. Allerdings kann jeder Hacker auf der Welt solche Zeilen kopieren, um seine Spuren zu verwischen.

Quelle: Soeren Stache/dpa

Lesen Sie auch:

Anzeige:

Willkommen in der Industrie der Zukunft

Ranking

Das sind die schnellsten Züge der Welt

IT-Gehälter

Was Informatiker und IT-Fachkräfte wirklich verdienen

Stellenangebote im Bereich IT/TK-Projektmanagement

IT/TK-Projektmanagement Jobs

Slider zurück scrollen Slider weiter scrollen

Software-Testingenieur (m/w/d) Testautomatisierung -Steuerungssoftware für mobile Arbeitsmaschinen Wirtgen GmbH

Windhagen Zum Job 

wissenschaftliche*r Mitarbeiter*in (m/w/d) für die Entwicklung einer Wissensdatenbank im Bereich der Sektorenkopplung Hochschule Hamm-Lippstadt

Hamm Zum Job 

W2-Professur Software Engineering Hochschule Bielefeld

Gütersloh Zum Job 

Embedded Software Engineer (m/w/d) Safran Data Systems GmbH

Bergisch Gladbach Zum Job 

W2-Professur Software Engineering Hochschule Bielefeld (HSBI)

Gütersloh Zum Job 

Mitarbeiter (m/w/i) für Digitalisierung und Prozessmanagement Kreis Gütersloh

Rheda-Wiedenbrück Zum Job 

Projektleiter (m/w/d) Internetkommunikation / Telekommunikation Bisping & Bisping GmbH & Co. KG

Lauf an der Pegnitz Zum Job 

Projektleiter (m/w/d) Glasfaserausbau Bisping & Bisping GmbH & Co. KG

Lauf an der Pegnitz Zum Job 

Software Engineer (m/f/div) Leibniz Institut für Naturstoff-Forschung und Infektionsbiologie e.V. Hans-Knöll-Institut (HKI)

Jena Zum Job 

Software Engineer (m/f/div) Leibniz Institut für Naturstoff-Forschung und Infektionsbiologie e.V. Hans-Knöll-Institut (HKI)

Jena Zum Job 

Technischer Kundenbetreuer / Elektroingenieur (m/w/d) im Customer Support Prognost Systems GmbH

Rheine Zum Job 

Ingenieur (w/m/d) C-ITS Entwicklung Die Autobahn GmbH des Bundes

Frankfurt am Main Zum Job 

Doktorandin / Doktorand (w/m/d) im Themenfeld: Künstliche Intelligenz Bundesanstalt für Arbeitsschutz und Arbeitsmedizin (BAuA)

Dortmund Zum Job 

Ingenieur (m/w/d) Elektrotechnik als Projektleiter Hamburger Stadtentwässerung AöR ein Unternehmen von HAMBURG WASSER

Hamburg Zum Job 

Projektmanager (m/w/d) PMO Business Transformation MEWA Textil-Service SE & Co. Management OHG

Wiesbaden Zum Job 

Systemingenieur Echtzeit-Programmierung/-Entwicklung (m/w/d) Eckelmann AG

Wiesbaden Zum Job 

W2-Professur "Deep Learning" TU Bergakademie Freiberg

Freiberg Zum Job 

Ingenieur (m/w/d) zur Ausbildung zum deutschen Patentanwalt (m/w/d) und European Patent Attorney Patent- und Rechtsanwälte Andrejewski, Honke

Essen Zum Job 

Professur Smarte Robotik und KI (W2) Westfälische Hochschule

Bocholt Zum Job 

Ingenieur (w/m/d) Informationssicherheit Die Autobahn GmbH des Bundes

Frankfurt Zum Job 

Zudem forderten die Angreifer, dass Sony Pictures die Nordkorea-Komödie „The Interview“ stoppt. Der Film war gerade angelaufen. In dem Film wird sich über die nordkoreanische Regierung lustig gemacht. Darin bekommen TV-Journalisten ein Interview mit Machthaber Kim Jong-un und werden beauftragt, ihn zu töten. Damals geriet Nordkorea in den Verdacht, hinter der Attacke zu stehen – der Staat, in dem es nur 28 Webseiten gibt.

Frühere Programmzeilen in WannaCry aufgetaucht

Teile des damals verwendeten Codes sind also jetzt auch in WannaCry wieder aufgetaucht. Manche Experten halten es allerdings für gewagt, deshalb Nordkorea für den weltweiten Angriff ins Visier zu nehmen.

Denn genau so gut können andere Hacker die Passagen kopiert und in ihre Schadsoftware eingebaut haben, um Spuren zu verwischen und von sich abzulenken. Die Code-Schnipsel wurden auch schon bei anderen Angriffen gesichtet, beispielsweise auf die Zentralbank in Bangladesch 2016 und eine Bank in Polen vor drei Monaten.

Chaos zum Wochenbeginn ist ausgeblieben

Unterdessen ist das befürchtete Chaos zum Wochenbeginn nicht eingetreten. Obwohl mehr als 200.000 Unternehmen, Organisationen und Privatrechner weltweit befallen sein sollen, hat sich der Trojaner nicht mehr weiterverbreitet. Dafür hatte am Wochenende ein erst 22 Jahre alter IT-Spezialist in Großbritannien gesorgt.

Telefonica-Zentrale in der Nähe von Madrid: Der spanische IT-Konzern und die Mutter des deutschen Mobilfunkers O2 wurde von WannaCry erfolgreich angegriffen. Das ist kein gutes Zeugnis für die IT-Sicherheit der Spanier.

Quelle: Juan Carlos Hidalgo/dpa

Eigentlich hatte der Brite frei, setzte sich aber an seinen Rechner, als er von der WannaCry-Attacke hörte. Er entdeckte gemeinsam mit Kollegen, dass der Programmcode eine URL enthält, die noch nicht registriert war. Wenn WannaCry sich mit der URL in Verbindung setzte, löste das eine Fehlermeldung aus, was zur Weiterverbreitung führte. Nachdem der Brite die Webadresse registriert hatte und es keine Fehlermeldungen mehr gab, wurde die Weiterverbreitung gestoppt. WannaCry ist tot.

Frühere Windows-Programme unbedingt aktualisieren

Deshalb blieb es bislang ruhig, massive Schäden gab es in Deutschland nicht, soweit sich das überblicken lässt. Allerdings dürfte es eine ganze Reihe von Computern geben, die noch vor Abschaltung des Trojaners das Programm als E-Mail-Anhang aktiviert haben und deren Daten nun verschlüsselt sind.

Nach bisherigen Informationen nutzt die Zahlung des geforderten Lösegeldes nichts – die Rechner bleiben verschlüsselt. Da hilft meist nur, Betriebssystem und Software neu aufzuspielen – und dabei auch das Sicherheitspaket von Microsoft unbedingt herunterzuladen. Denn betroffen von WannaCry sind nur Versionen des Windows-Betriebssystems von XP bis 8.1, die nicht im März upgedatet wurden. Hier noch einmal der Link zum Update.