Gefährlicher als "WannaCry"-Attacke

Angriff mit Erpressungssoftware sorgt weltweit für Chaos

Der zweite globale Cyber-Angriff innerhalb von zwei Monaten breitet sich langsamer aus als die "WannaCry"-Attacke. Laut Experten ist er jedoch gefährlicher. Die angebliche Erpressungssoftware löscht Daten, statt sie zu verschlüsseln.

Jörg Schamberg, 29.06.2017, 09:47 Uhr (Quelle: DPA)
Daten-Sicherheit© maxkabakov / Fotolia.com

Berlin - Nach dem zweiten massiven Angriff mit Erpressungssoftware innerhalb von zwei Monaten kämpfen Firmen rund um den Globus mit den Folgen der Cyber-Attacke. Zu den betroffenen Unternehmen zählen der Nivea-Hersteller Beiersdorf und die dänische Reederei Maersk, bei der Terminals in mehreren Häfen ausfielen. Außerdem wurden vor allem Firmen und öffentliche Einrichtungen in der Ukraine hart getroffen.

Schadsoftware verbreitet sich über Windows-Sicherheitslücke

Die Schadsoftware war nach Einschätzung von Experten gefährlicher als der aufsehenerregende Erpressungstrojaner "WannaCry" Mitte Mai. Sie verbreitete sich nicht nur über die damals ausgenutzte Windows-Sicherheitslücke, sondern fand auch einen weiteren Weg, Computer innerhalb eines Netzwerks anzustecken. Unterdessen sehen Experten Hinweise darauf, dass die Angreifer eher Chaos anrichten wollten und nicht auf Profit aus waren.

300 Dollar in Bitcoins als Lösegeld verlangt

Während Erpressungstrojaner, die Computer verschlüsseln und Lösegeld für die Freischaltung verlangen, ein eingespieltes Geschäftsmodell von Online-Kriminellen sind, war die Bezahlfunktion bei der neuen Attacke äußerst krude gestaltet. Die Angreifer verlangten 300 Dollar in der Cyberwährung Bitcoin. Das Lösegeld sollte auf ein einziges Konto gehen, die zahlenden Opfer sollten sich per E-Mail zu erkennen geben. Nachdem der E-Mail-Anbieter Posteo die genannte Adresse aus dem Verkehr zog, wurde es für die Betroffenen völlig sinnlos, Lösegeld zu zahlen. Bis Mittwochnachmittag gingen nur 45 Zahlungen auf dem Bitcoin-Konto ein.

Daten werden gelöscht statt verschlüsselt

Laut einer Analyse des Softwarecodes tarnte sich das Programm nur als Erpressungstrojaner und war stattdessen auf Datenvernichtung aus. Es lösche die ersten Sektoren der Festplatte, statt sie zu verschlüsseln, erklärte die IT-Sicherheitsfirma Comae Technologies. Auch andere Experten wie Bitdefender äußerten die Vermutung, dass die Lösegeldforderungen nur vorgeschoben waren. Damit wird die Theorie eines politisch motivierten Angriffs wahrscheinlicher.

Über 18.000 Infektionen in über 60 Ländern

Die IT-Sicherheitsfirma Malwarebytes verzeichnete bis Mittwoch rund 18.000 Infektionen in über 60 Ländern. Die Ukraine blieb der Schwerpunkt der Attacken. Asien kam am Mittwoch glimpflicher davon als Europa und die USA.

Der neue Angriff breitete sich langsamer aus als der "WannaCry"-Trojaner, der binnen eines Tages hunderttausende Computer befiel - aber er zog mehr international agierende Unternehmen in Mitleidenschaft.

Bei Beiersdorf habe es am Dienstag einen Ausfall der IT und der Telefonanlage gegeben, sagte eine Sprecherin am Mittwoch in Hamburg und bestätigte damit entsprechende Medieninformationen vom Vortag. Neben der Zentrale in der Hansestadt seien auch weltweit Standorte betroffen. Es sei zu früh, den entstandenen Schaden zu beziffern.

Der Trojaner habe sich zumindest zum Teil über dieselbe Sicherheitslücke in älterer Windows-Software verbreitet wie auch der im Mai für eine globale Attacke genutzte Erpressungstrojaner "WannaCry", erklärten die IT-Sicherheitsfirma Symantec und das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Virus kann sich auch auf WIndows-10-Systemen verbreiten

Die Windows-Schwachstelle wurde ursprünglich vom US-Abhördienst NSA ausgenutzt. Hacker machten sie im vergangenen Jahr öffentlich. Es gibt zwar schon seit Monaten ein Update, das sie schließt - doch das scheinen viele Firmen noch immer nicht installiert zu haben.

Falk Garbsch, der Sprecher des Chaos Computer Clubs, sagte aber im Inforadio des RBB, der neue Virus setzte nicht nur auf diese Schwachstelle, sondern auch auf andere Lücken. "Das ist der Grund, warum sich dieser Virus auch auf Windows 10 Systemen weiterverbreiten kann, sich durch große Netzwerke fräst und da quasi alles mitnimmt, was er irgendwie runterreißen kann." Es reiche im Zweifelsfall aus, dass ein einzelner Rechner in einem Firmennetzwerk infiziert werde.

Konstantin von Notz, der stellvertretende Vorsitzender der Grünen-Bundestagsfraktion, forderte, staatliche Stellen müssten alles dafür tun, damit Sicherheitslücken schnellstmöglich geschlossen werden. "Stattdessen entwickeln und kaufen sie solche Exploits an. Damit nähren sie sogar noch einen Graumarkt krimineller Hacker und befeuern eine gefährliche Aufrüstungsspirale im Digitalen."

Nach Erkenntnissen der ukrainischen Cyberpolizei wurden Computer zunächst über die automatische Updatefunktion einer verbreiteten Buchhaltungssoftware manipuliert. Die Firma wies die Vorwürfe zurück, hatte zuvor allerdings selbst vor manipulierten Updates gewarnt.

Große Industrieunternehmen betroffen

Von dem Angriff betroffen waren auch der größte russische Ölproduzent Rosneft, der US-Pharmakonzern Merck, der Werbegigant WPP, die französische Bahn SNCF und der Lebensmittel-Riese Mondelez ("Milka", "Oreo"). An der Ruine des Katastrophen-Atomkraftwerks Tschernobyl in der Ukraine musste die Radioaktivität nach dem Ausfall von Windows-Computern manuell gemessen werden.

Mitte Mai hatte die "WannaCry"-Attacke hunderttausende Windows-Computer in mehr als 150 Ländern infiziert. Betroffen waren damals vor allem Privatpersonen - aber auch Unternehmen wie die Deutsche Bahn und Renault.

Erpressungssoftware "Petya" oder neue Software?

Experten waren sich unterdessen uneins, mit welcher Software sie es diesmal überhaupt zu tun haben. Nach ersten Erkenntnissen handelte es sich um eine Version der seit 2016 bekannten Erpressungssoftware "Petya". Kaspersky kam hingegen zu dem Schluss, es sei eine neue Software, die sich nur als "Petya" maskiere.

Kommentieren Forum

Dieser Artikel wurde noch nicht kommentiert. Schreiben Sie uns Ihre Meinung!

Zum Seitenanfang
NewsletterPopup