Kaspersky und Symantec waren sich schon Mitte Mai sicher, jetzt ist auch der US-Geheimdienst NSA mehr oder weniger überzeugt davon: Der Ransomware-Wurm WannaCry – auch WannaCrypt, WanaCrypt0r, Wcrypt oder WCRY genannt – kommt aus Nordkorea.  Genauer: Es ist ein Auftragswerk des nordkoreanischen Geheimdienstes RGB. WannaCry hatte am 12. April weltweit Computerdaten verschlüsselt und Lösegeld gefordert. Die Systeme von Krankenhäusern, Telekommunikationsfirmen und anderen Unternehmen waren betroffen.

Offiziell bestätigt hat die NSA ihre Vermutung nicht. Die Zuschreibung findet sich aber in einem internen Bericht, wie die Washington Post berichtet. Demzufolge ist sich der Geheimdienst "mäßig sicher" ("moderate confidence"), dass der RGB die Entwicklung von zwei WannaCry-Varianten gefördert hat.

Indizien dafür seien aufgetauchte IP-Adressen in China, die schon früher vom RGB genutzt worden seien, sowie nicht näher genannte Erkenntnisse westlicher Geheimdienste. Ein Prototyp der Schadsoftware sei schon im Frühjahr in den Computersystemen einer "nicht-westlichen Bank" entdeckt worden und habe wichtige Hinweise auf die Herkunft der Täter enthalten.

Der stellvertretende UN-Botschafter Nordkoreas hatte die ersten Anschuldigungen im Mai als "lächerlich" zurückgewiesen. Harte Beweise gibt es selten, mit denen zweifelsfrei feststeht, ob staatliche Akteure Angriffe mit Schadsoftware verübt haben. Die Täter haben schlicht zu viele Möglichkeiten, falsche Fährten zu legen, zum Beispiel durch absichtlich platzierte vermeintliche Fehler und Hinweise im Code einer Malware. Die stärksten Indizien, die ein Geheimdienst wie die NSA findet, werden zudem öffentlich kaum bekannt gemacht, weil sie Rückschlüsse auf die Fähigkeiten des Dienstes zulassen könnten.

Die NSA ist an der Existenz von WannaCry selbst nicht ganz unschuldig. Denn die Ransomware basiert auf einer Sicherheitslücke in Windows-Systemen, die der US-Geheimdienst entdeckt und unter dem Codenamen ETERNALBLUE für eigene Zwecke genutzt hatte, statt sie Microsoft zu melden. Im vergangenen Jahr gelangten dann Unbekannte, die sich Shadow Brokers nannten, in den Besitz zahlreicher NSA-Werkzeuge und -Unterlagen und veröffentlichten diese in mehreren Wellen. Im letzten, im April veröffentlichten Paket war auch ETERNALBLUE zu finden.

Dadurch konnte sich jeder hinreichend fähige kriminelle Hacker eine Malware zusammenbauen, die Windows-Versionen von Windows XP bis Windows 8 befällt. WannaCry ist genau das: eine Kombination aus NSA-Infiltrationstools und Erpressungssoftware, die Dateien auf einem befallen Rechner verschlüsselt und ein Lösegeld verlangt. Hinzu kommt, dass sich WannaCry wie ein Computerwurm verbreitet. So konnte die Ransomware Hunderttausende Computer in rund 150 Ländern befallen.

Microsoft verteilt neuen Patch für Windows-Systeme ab XP

Zwar hatte die NSA Microsoft offenbar noch vor der entscheidenden Veröffentlichung der ShadowBrokers gewarnt, denn das Unternehmen bot bereits im März ein Sicherheitsupdate für seine Systeme an, mit denen die ETERNALBLUE-Lücke gestopft wurde. Doch erstens nahmen viele Anwender das Angebot nicht wahr oder ernst genug, um das Update zu installieren. Zweitens waren die Patches für Microsofts Uralt-Systeme wie XP nicht darunter, beziehungsweise nur für Kunden mit teuren Support-Verträgen verfügbar. Den allgemeinen Support für XP hat Microsoft schon vor Jahren eingestellt, schließlich gibt es längst mehrere neue Generationen des Windows-Betriebssystems. Erst nach Beginn der WannaCry-Kampagne gab Microsoft die Patches für XP, Windows Server 2003 und Windows 8 für alle Nutzer frei.

Bemerkenswert ist, dass Microsoft am Mittwoch, also am Tag vor dem Bekanntwerden des internen NSA-Berichts, erneut einen außerplanmäßigen Patch für seine Betriebssysteme veröffentlicht hat, erneut einschließlich Windows XP und Windows Server 2003 und frei verfügbar für alle Nutzer. Das Unternehmen habe einige Sicherheitslücken identifiziert, die ein erhöhtes Risiko für Angriffe von Regierungsorganisationen darstellen, teilte Adrienne Hall, General Manager in Microsofts Cyber Defense Operations Center in einem Blogpost mit. Die Installation der Updates biete einen weiteren Schutz gegen Attacken wie die mit WannaCry.

Die Ransomware verbreitete sich im Mai zwar rasant, war aber nicht ausgereift. So konnten die Täter zum Beispiel nicht feststellen, welche Opfer das Lösegeld bezahlt haben. Jake Williams, Gründer des IT-Sicherheitsunternehmens Rendition Infosec, hat den Code der Erpressersoftware nach eigenen Angaben eingehend untersucht. Er sei überzeugt, dass sie unabsichtlich in einer Testphase losgelassen wurde, sagte er der Washington Post.

Die nächste Attacke könnte also noch verheerender ausfallen. Ob Microsoft konkrete Hinweise auf einen bevorstehenden Angriffsversuch hat, ist allerdings unklar. Hall schreibt zwar von "einem derzeit erhöhten Risiko durch zerstörerische Attacken". Die aktuellen Patches aber schließen vor allem Sicherheitslücken nun auch in alten Windows-Versionen, die mit drei separaten NSA-Exploits ausgenutzt werden könnten. Auch diese Exploits mit den Codenamen ENGLISHMANDENTIST, ESTEEMAUDIT und EXPLODINGCAN waren von den Shadow Brokers veröffentlicht worden. Für seine moderneren Systeme hatte Microsoft bereits passende Patches verteilt. Das neue Paket könnte also eine reine Vorsichtsmaßnahme für offiziell nicht mehr unterstützte Systeme sein. So liest sich auch ein zweiter begleitender Blogpost von Eric Doerr, General Manager in Microsofts Security Response Center.

Nutzer der alten Windows-Systeme sollten in jedem Fall dringend manuell die nun bereitgestellten Updates einspielen.