Sie sind hier:

Nach Hacker-Attacken - Die Jagd auf die "WannaCry"-Erpresser

Datum:

Es waren 300.000 Computer, die dem Verschlüsselungstrojaner zum Opfer fielen: Im Mai legte "WannaCry" Rechner lahm und erpresste die Besitzer. Ermittler der Cybercrime-Einheit von Europol ermitteln fieberhaft - dabei könnte ihnen die sogenannte Stilometrie helfen.

Bei dem größten Cyber-Angriff der Geschichte wurden weltweit zigtausende Computer lahmgelegt. Auch die Bahn und Krankenhäuser sind betroffen. In mehr als 100 Ländern sind Rechner mit einem schädlichen Programm infiziert worden.

Beitragslänge:
3 min
Datum:

Die Fahnder verfolgen drei Ermittlungsansätze, um die "WannaCry"-Erpresser aufspüren zu können. Sie analysieren erstens die Schadsoftware, die die Erpresser verwendet haben. Zweitens werden die Steuerungsrechner und Server, über die Angriffe ausgeführt und koordiniert wurden, genau untersucht. Und drittens verfolgen die Fahnder, welchen Überweisungsweg das Lösegeld genommen, das betroffene PC-Besitzer in Einzelfällen gezahlt haben, in der vergeblichen Hoffnung, dass dann ihre Festplatte wieder entschlüsselt werde.

"Das sind Standardverfahren, die bei allen Ermittlungen von Cyberverbrechen zum Einsatz kommen", beschreibt Steven Wilson, Chef der Cybercrime-Einheit bei Europol, die Methoden der Fahnder. Dabei hat die Untersuchung der Schadsoftware selbst bisher nur schwache Indizien ergeben. "Wir haben frühe Versionen von 'WannaCry' als Vergleichsproben im Netz gefunden", berichtet Mike Fey, Chef des Sicherheitsunternehmens Symantec.

Frühere Versionen von "WannaCry" gefunden

Diese Schadsoftware soll einen Softwarecode aufgewiesen haben, der vor knapp drei Jahren bei der Cyberattacke gegen Sony, beim Angriff auf die Zentralbank in Bangladesh vor einem Jahr und bei einer Attacke auf eine polnische Bank im Februar 2017 verwendet wurde. Bei diesen drei Angriffen wurde darüber spekuliert, dass sie von Nordkorea ausgegangen seien.
"Die Angriffe konnten wir der Lazarus-Gruppe zuschreiben", erklärt Mike Fey von Symantec. Allerdings sind Attacken der Lazarus-Gruppe Nordkorea bisher nicht nachgewiesen worden. Außerdem war die Schadsoftware der sogenannten Lazarus-Gruppe im Netz frei zugänglich. Da konnte sich jeder bedienen und Lazarus-Code für seine Angriffe nutzen.

Üblicherweise wird der Programmierstil der Angreifer untersucht, um auf ihre Identität zu schließen. Das ist in diesem Fall etwas schwieriger als sonst. Das liegt nicht nur am Lazarus-Code. Die Erpresser haben teilweise Algorithmen verwendet, die eine Hackergruppe namens Shadow Brokers der NSA entwendet und ins Netz gestellt hat. Sie haben also offenbar nach dem Baukastenprinzip gearbeitet und sich Schad-Algorithmen aus unterschiedlichen Quellen geholt.

Programmierstil verrät die Täter

Allerdings versuchen die Forensiker gerade über die Art der Zusammenstellung dieser verschiedenen Algorithmen zur WannaCry-Schadsoftware an die Täter zu gelangen. "Die Art wie Klammern oder Leerzeichen bei solchen Zusammenstellungen vergeben werden und auch, welche Variablennamen benutzt werden, lassen dabei auf den Stil des Programmierers schließen", erläutert Aylin Caliska-Islam, Computerwissenschaftlerin an der Princeton Universität. Sie berät die Sicherheitsbehörden in Sachen Stilometrie, also den Methoden, mit denen Programmierer anhand ihres Programmierstils identifiziert werden können. Außerdem sind inzwischen einige Rechner identifiziert worden, auf denen diese Algorithmen bearbeitet worden sind.

Über die Seriennummern der Prozessoren dieser Rechner sowie über aufgespielte Treiber- und Anwendersoftware sollen nun die Erpresser ausfindig gemacht werden. Außerdem haben die Forensiker auch die Steuerungsrechner ausfindig gemacht, von denen aus die WannaCry-Angriffe koordiniert worden sind.

Geldflüsse zeigen den Weg

Diese Steuerungsrechner werden genauso akribisch untersucht wie die in WannaCry fest eingebauten Bitcoin-Adressen. Denn darüber ist knapp eine Viertelmillion US-Dollar Lösegeld an die Erpresser gezahlt worden. "Diese Geldflüsse werden sehr genau ausgewertet", beschreibt Timo Wege vom Sicherheitsunternehmen Trend Micro die Vorgehensweise. Für eine Bitcoin-Zahlung brauchen sie eine Bitcoin-Adresse und einen privaten Schlüssel.

Die Bitcoin-Adresse ist eine Art Schließfach mit gläserner Tür. Jeder kann reinschauen, aber nur wer den Schlüssel hat, kann aufschließen und Bitcoins herausnehmen. Mit sehr viel Entschlüsselungsarbeit wollen die Ermittler erfahren, wer die von den Erpressungsopfern überwiesenen Bitcoins entnommen hat. Sie beherzigen dabei eine alte Detektivweisheit: Folge der Spur des Geldes.

Um unser Web-Angebot optimal zu präsentieren und zu verbessern, verwendet das ZDF Cookies. Durch die weitere Nutzung des Web-Angebots stimmen Sie der Verwendung von Cookies zu. Näheres dazu erfahren Sie in unserer Datenschutzerklärung.

Gemerkt auf Mein ZDF! Merken beendet Bewertet! Bewertung entfernt Abonniert auf Mein ZDF! Abo beendet Embed-Code kopieren HTML-Code zum Einbetten des Videos in der Zwischenablage gespeichert

Sie wechseln in den Kinderbereich und bewegen sich mit Ihrem Kinderprofil weiter.