12. Mai 2017: 5 Jahrestag von WannaCry

WannaCry hatte Zero-Day-Sicherheitslücke in Windows ausgenutzt

[datensicherheit.de, 12.05.2022] Am 12. Mai 2017 wurde der Nordkorea zugeschriebene Ransomware-Angriff „WannaCry“ ausgeübt. Jens Monrad, „Head of Threat Intelligence, EMEA“ bei Mandiant, geht in seiner aktuellen Stellungnahme auf diese Schadsoftware ein, welche wichtige Daten auf infizierten Systemen verschlüsselt, um von den Opfern Geld zu erpressen. „WannaCry“ hatte hierfür eine Zero-Day-Sicherheitslücke im „Windows“-Betriebssystem ausgenutzt, welche daraufhin mit einem Patch von „Microsoft“ behoben wurde. In seinem Kommentar erläutert Monrad die Entwicklung der Cyber-Fähigkeiten Nordkoreas in den letzten fünf Jahren seit diesem Vorfall:

Foto: Mandiant

Jens Monrad rät, proaktive Verteidigung zu ermöglichen!

WannaCry – einer der bisher am meisten zerstörerischen Ransomware-Angriffe

„,WannaCry‘ war nicht nur einer der am weitesten verbreiteten und zerstörerischsten Ransomware-Angriffe, sondern auch ein Wendepunkt für die vom nordkoreanischen Staat unterstützten Cyber-Operationen. Er zeigte die Fähigkeiten und die Bereitschaft des isolierten Regimes, anderen Nationen Schaden zuzufügen, um nationale Interessen zu verfolgen“, sagt Monrad.
Nordkorea habe wenig Anreiz gehabt, „nach den Regeln zu spielen“. Diese Entwicklung setze sich auch fünf Jahre später fort:
„Das Regime nutzt seine Cyber-Fähigkeiten, um sowohl politische als auch nationale Sicherheitsprioritäten zu unterstützen und finanzielle Ziele zu erreichen.“

WannaCry als warnendes Synonym für die Lazarus-Gruppe

Heutzutage werde die „Lazarus“-Gruppe zwar häufig als Überbegriff für nordkoreanische Cyber-Akteure verwendet, in Wirklichkeit gebe es jedoch mehrere verschiedene Gruppierungen, welche als eigenständige Cyber-Einheiten operierten und unterschiedliche Ziele für den Staat verfolgten.
Die Spionageoperationen des Landes beispielsweise spiegelten vermutlich die unmittelbaren Anliegen und Prioritäten des Regimes wider.
„Diese konzentrieren sich derzeit wahrscheinlich auf die Beschaffung finanzieller Ressourcen durch Krypto-Raubüberfälle, Angriffe auf Medien, Nachrichten und politische Instanzen sowie auf Informationen über Auslandsbeziehungen und nukleare Informationen“, so Monrad.

WannaCry-Vorfall als Mahnung: Angriffsmuster erkennen!

Gleichzeitig deuteten Überschneidungen bei der Infrastruktur, der Schadsoftware und den Taktiken, Techniken und Verfahren der nordkoreanischen Gruppen darauf hin, dass es gemeinsame Ressourcen für die Cyber-Operationen und somit eine übergreifende Koordination gebe.
„Unseren Erkenntnissen zufolge werden die meisten Cyber-Operationen Nordkoreas, einschließlich Spionage, zerstörerischer Operationen und Finanzverbrechen, in erster Linie von Elementen des Generalbüros für Aufklärung durchgeführt“, führt Monrad aus.
Ein halbes Jahrzehnt nach „WannaCry“ stellten nordkoreanische Gruppen nach wie vor eine ernsthafte Bedrohung dar. „Wir müssen weiterhin ,Intelligence‘ über ihre Strukturen und Fähigkeiten sammeln, um Angriffsmuster zu erkennen, die eine proaktive Verteidigung ermöglichen.“

Weitere Informationen zun Thema:

MANDIANT, Michael Barnhart / Michelle Cantos / Jeffery Johnson / Elias Fox / Gary Freas / Dan Scott, 23.03.2022
Blog / Not So Lazarus: Mapping DPRK Cyber Threat Groups to Government Organizations

datensicherheit.de, 27.06.2018
Studie: WannaCry ließ Bewusstsein für Cyber-Risiken wachsen / Angst vor finanziellen Schäden durch Ransomware bewirkt Budgeterhöhungen und Zunahme an Mitarbeiterschulungen

datensicherheit.de, 18.05.2017
WannaCry: Cyber-Attacke sollte Initialzündung für Taten sein / TeleTrusT kritisiert derzeitiges IT-Sicherheitsniveau in Deutschland

datensicherheit.de, 16.05.2017
WannaCry-Attacken: Verantwortung übernehmen statt Schuld zuweisen / Die Weisheit „Der Krug geht so lange zum Brunnen, bis er bricht.“ hat mit den Vorfällen vom 12. Mai 2017 nun ihre für alle wahrnehmbare digitale Entsprechung gefunden