WannaCry: Hacker leeren Bitcoin-Geldbörsen

Die Hacker, die hinter der WannaCry-Angriffswelle stecken, haben gestern die von ihnen erpressten Lösegelder abgerufen. Bis gestern lagerten in den mit WannaCry verknüpften Bitcoin-Geldbörsen angeblich 52 Bitcoin aus 358 Zahlungen, die zu dem Zeitpunkt einen Gegenwert von rund 142.000 Dollar hatten. Zwischen 5.10 und 5.25 Uhr wurden insgesamt sieben Abbuchungen getätigt, die den Kontostand auf 0 Bitcoin brachten.

Die Zahlen stammen von einem Bot, der in den vergangenen Wochen die Bitcoin-Adressen überwachte, die die WannaCry-Erpresser in ihrer Lösegeldforderung angegeben hatten. Demnach nutzten die Cyberkriminellen insgesamt drei Bitcoin-Adressen (Geldbörse 1, Geldbörse 2, Geldbörse 3), in denen zwischen 114 und 130 Zahlungen im Wert zwischen 14,41 und 19,75 Bitcoins eingingen. Die unterschiedlichen Beträge ergeben sich auch aus Kurschwankungen bei der Umrechnung von Dollar zu Bitcoin – das Lösegeld betrug offiziell 300 Dollar, zahlbar in Bitcoin.

WannaCry infiziert mehr als 100.000 Windows-PCs

WannaCry hatte im Mai innerhalb kürzester Zeit mehr als 100.000 Windows-PCs weltweit befallen. Insgesamt wird die Zahl der infizierten Systeme auf über 300.000 geschätzt. Die Ransomware verbreitete sich über eine von Microsoft zwei Monate zuvor gepatchte Sicherheitslücke im SMB-Protokoll. Der Exploit war jedoch eine Entwicklung des US-Geheimdiensts NSA. Mitte April waren zahlreiche NSA-Hackingstools in die Hände von Cyberkriminellen gelangt, die diese im Darknet zum Verkauf anboten.

Betroffen waren Systeme in Nord- und Südamerika, Europa, Russland und China. Besonders schwer traf es den staatlichen britischen Gesundheitsdiensts National Health Service, dessen Ärzte und Krankenhäuser zum Teil nur noch eingeschränkt oder gar nicht mehr arbeiten konnten. Auch noch Wochen später kamen es zu neuen Infektionen, darunter der japanische Autobauer Honda und die Verkehrsbehörde im australischen Bundesstaat Victoria.

Wer hinter den Angriffen steckt, ist weiterhin unklar. Sicherheitsforscher wollen Hinweise auf Hintermänner in Nordkorea entdeckt haben. Unter anderem soll es Code-Übereinstimmungen zwischen WannaCry und einer Malware der Lazarus-Gruppe geben – einen konkreten Beweis für eine Beteiligung irgendeiner Gruppe oder eines Nationalstaats gibt es jedoch nicht.

Auch der finanzielle Erfolg der Hacker ist überschaubar. Auch wenn 142.000 Dollar ein mehr als ansehnlicher Betrag ist, scheinen die meisten Opfer dem Rat von Experten gefolgt zu sein, der Lösegeldforderung nicht nachzukommen. Bei geschätzten 300.000 infizierten Systemen entsprechen 358 erhaltene Zahlungen lediglich einer Erfolgsquote von 0,0012 Prozent.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.