Das US-Sicherheitsunternehmen Flashpoint hat die Lösegeldforderungen der Ransomware WannaCry einer linguistischen Analyse unterzogen. Demnach ist die Mitteilung in Chinesisch nicht nur länger als in anderen Sprachen, sie ist auch fehlerfrei. Flashpoint geht nun mit einer „angemessenen Zuversicht“ davon aus, dass die Muttersprache des oder der Entwickler der Erpressersoftware Chinesisch ist.
Die Lösegeldforderung stellt WannaCry in insgesamt 28 Sprachen. Alle Sprachen außer Englisch und Chinesisch wurden mit dem Google-Übersetzer erstellt – auf Basis des englischen Texts. Eine erneute Übersetzung mit Google brachte Übereinstimmungen von 96 bis 100 Prozent.
Bisher war man davon ausgegangen, dass die Hintermänner von WannaCry aus Nordkorea stammen. Darauf deutet Code hin, den der Google-Sicherheitsforscher Neel Mehta bei der Untersuchung einer frühen Version der Malware entdeckt hat. Er entspricht Code, den die Hackergruppe Lazarus benutzt hat, der wiederum Verbindungen zur Regierung Nordkoreas nachgesagt werden. Trotzdem soll sie von China aus operieren.
Die Herkunft eines Hackerangriffs oder einer Malware nachzuweisen, ist sehr schwierig. Die Täter haben nicht nur vielfältige Möglichkeiten, ihre Spuren zu verwischen, sie können auch gezielt falsche Spuren legen. Im konkreten Fall könnten die Hacker die chinesische Lösegeldforderung auch bei einem professionellen Übersetzer eingekauft haben. Zudem könnten sie gezielt Googles Übersetzungsdienst eingesetzt haben, um eigene Kenntnisse bestimmter Sprachen zu verschleiern. Auch den von der Lazarus-Gruppe stammenden Programmcode könnten die Hacker eingekauft haben.
Trotzdem beschäftigen sich Sicherheitsforscher immer wieder intensiv mit der möglichen Herkunft der Hintermänner, um deren Motive zu verstehen und um ihre Kunden besser vor kommenden Bedrohungen schützen können. WannaCry erreichte jedoch in erster Linie über eine ungepatchte Lücke in Windows eine derartig hohe Verbreitung. Entgegen ersten Annahmen waren dafür nicht Rechner mit Windows XP, sondern Systeme mit Windows 7 verantwortlich. Deren Besitzer hatten den seit Mitte März vorhandenen Patch für eine Sicherheitslücke in Windows SMB bis Anfang Mai noch nicht installiert.
[mit Material von Zoey Chong, News.com]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…