Muttersprache der WannaCry-Entwickler angeblich Chinesisch

Das US-Sicherheitsunternehmen Flashpoint hat die Lösegeldforderungen der Ransomware WannaCry einer linguistischen Analyse unterzogen. Demnach ist die Mitteilung in Chinesisch nicht nur länger als in anderen Sprachen, sie ist auch fehlerfrei. Flashpoint geht nun mit einer „angemessenen Zuversicht“ davon aus, dass die Muttersprache des oder der Entwickler der Erpressersoftware Chinesisch ist.

Allerdings ist nicht auszuschließen, dass die Hintermänner aus dem englischen Sprachraum stammen. Der Analyse zufolge ist die englische Lösegeldforderung zu korrekt, um maschinell übersetzt worden zu sein. Allerdings enthält sie einen „kapitalen“ grammatikalischen Fehler, weswegen Flashpoint vermutet, dass der Autor zwar mit der englischen Sprache vertraut ist, sie aber wahrscheinlich nicht seine Muttersprache ist oder er eine schlechte Bildung habe.

Die Lösegeldforderung stellt WannaCry in insgesamt 28 Sprachen. Alle Sprachen außer Englisch und Chinesisch wurden mit dem Google-Übersetzer erstellt – auf Basis des englischen Texts. Eine erneute Übersetzung mit Google brachte Übereinstimmungen von 96 bis 100 Prozent.

Bisher war man davon ausgegangen, dass die Hintermänner von WannaCry aus Nordkorea stammen. Darauf deutet Code hin, den der Google-Sicherheitsforscher Neel Mehta bei der Untersuchung einer frühen Version der Malware entdeckt hat. Er entspricht Code, den die Hackergruppe Lazarus benutzt hat, der wiederum Verbindungen zur Regierung Nordkoreas nachgesagt werden. Trotzdem soll sie von China aus operieren.

Die Herkunft eines Hackerangriffs oder einer Malware nachzuweisen, ist sehr schwierig. Die Täter haben nicht nur vielfältige Möglichkeiten, ihre Spuren zu verwischen, sie können auch gezielt falsche Spuren legen. Im konkreten Fall könnten die Hacker die chinesische Lösegeldforderung auch bei einem professionellen Übersetzer eingekauft haben. Zudem könnten sie gezielt Googles Übersetzungsdienst eingesetzt haben, um eigene Kenntnisse bestimmter Sprachen zu verschleiern. Auch den von der Lazarus-Gruppe stammenden Programmcode könnten die Hacker eingekauft haben.

Trotzdem beschäftigen sich Sicherheitsforscher immer wieder intensiv mit der möglichen Herkunft der Hintermänner, um deren Motive zu verstehen und um ihre Kunden besser vor kommenden Bedrohungen schützen können. WannaCry erreichte jedoch in erster Linie über eine ungepatchte Lücke in Windows eine derartig hohe Verbreitung. Entgegen ersten Annahmen waren dafür nicht Rechner mit Windows XP, sondern Systeme mit Windows 7 verantwortlich. Deren Besitzer hatten den seit Mitte März vorhandenen Patch für eine Sicherheitslücke in Windows SMB bis Anfang Mai noch nicht installiert.

[mit Material von Zoey Chong, News.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.