Digital Life
29.05.2017

WannaCry: Neue Spur führt nach China

Lange Zeit galt Nordkorea als möglicher Urheber der Ransomware, doch nun weisen neue Indizien auf chinesische Entwickler hin.

Sicherheitsforscher des Unternehmens Flashpoint haben neue Hinweise darauf entdeckt, dass die Urheber der Ransomware WannaCry aus China stammen. Darauf würden die Erpresserschreiben hinweisen, die offenbar von jemanden verfasst wurden, der „chinesisch aufgewachsen ist oder zumindest fließend chinesisch spricht“. Das Erpresserschreiben ist in 28 verschiedenen Sprachen verfügbar, doch 26 davon wurden offenbar mithilfe von Google Translate oder einer ähnlichen Software übersetzt. Lediglich die englische und die chinesische Version wurden händisch verfasst.

Zuvor gab es auch Berichte, wonach Nordkorea hinter der stark verbreiteten Ransomware stecken könnte. Doch laut Flashpoint handle es sich bei der koreanischen Version des Erpresserschreibens um eine schlechte Übersetzung der englischen Fassung. WannaCry infizierte mehr als 200.000 Computer in 150 verschiedenen Ländern, darunter auch viele Teile kritischer Infrastruktur, wie Krankenhäuser und Behörden. Um wieder Zugriff auf die von der Schadsoftware verschlüsselten Daten zu erhalten, müssen die Opfer Lösegeld in Bitcoin überweisen.

Urheber sehen keinen Cent

Obwohl die Ransomware relativ weit verbreitet ist, gingen relativ wenige Opfer auf die Forderung ein. Bislang wurden 317 Überweisungen durchgeführt, wodurch eine Summe von 50,4 Bitcoins – knapp 112.000 US-Dollar – eingesammelt werden konnten. Eine Summe, mit der die Erpresser wohl nie etwas anfangen können. Denn laut Alan Woodward, einem Sicherheitsforscher der Universität Surrey, werden die Urheber wohl die Finger vom Geld lassen.

„Sie wissen, dass sie von so vielen Menschen beobachtet werden. Wenn jemand der Spur des Geldes folgt, könnte das zu ihrem Untergang führen. Ich vermute, wenn sie nur ein bisschen Verstand besitzen, werden sie das Geld ruhen lassen.“ Darauf weist auch die Tatsache hin, dass die „Command & Control“-Server, mit denen die Ransomware gesteuert werden können, abgeschaltet wurden.