Virus ist gefährlicher als Wanna Cry

Eine Cyber-Attacke hat weltweit Computer von diversen Firmen lahmgelegt. Experten gehen von einer völlig neuen Art Schadsoftware aus.

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Gut sechs Wochen nach der globalen Ransomware-Attacke mit dem Erpressungstrojaner Wanna Cry hat ein Cyber-Angriff Dutzende Unternehmen vor allem in der Ukraine, Russland und Polen lahmgelegt. Die neue Ransomware verschlüsselt dabei die Festplatte eines Computers und fordert 300 Dollar Lösegeld in der Cyberwährung Bitcoin, um wieder an die Daten heranzukommen. Die von den Erpressern benutzte E-Mail-Adresse wurde vom Betreiber Posteo jedoch bereits blockiert – und so dürfte das Bezahlen des Lösegelds nutzlos sein.

Der Hersteller des Anti-Viren-Programms Kaspersky hat rund 2000 Attacken registriert, hauptsächlich in der Ukraine und Russland. Angriffe seien aber auch in Polen, Italien, Grossbritannien, Deutschland, den USA und weiteren Ländern festgestellt worden, so Kaspersky auf Twitter.

Von den Angriffen betroffen waren unter anderen folgende Organisationen:

  • Die Schweizer Vermarktungsfirma Admeira
  • Der russische Ölkonzern Rosneft
  • Die dänische Reederei Maersk
  • Das britische Werbeunternehmen WPP
  • Der französische Industriekonzern Saint-Gobain

Petya oder ExPetr – aber sicher EternalBlue

Die Analysen der meisten IT-Sicherheitsfirmen haben ergeben, dass es sich wohl um eine neue Form des bereits bekannten Erpressertrojaners Petya handelt. «Unser Labor hat bestätigt, dass es sich um eine Ransomware der Petya-Familie handelt», meint etwa F-Secure. Auch Symantec geht bislang davon aus, dass die neue Schadsoftware eine Petya-Variante ist.

Die Experten von Kaspersky meinen jedoch, dass sie in der neuen Ransomware zwar einzelne Teile von Petya gefunden hätten, aber auch viele komplett neue Funktionalitäten. Kaspersky schliesst daraus, dass es sich um eine komplett neue Schadsoftware handelt, die Kaspersky ExPetr tauft.

Alle Sicherheitsexperten sind sich bislang einig, dass die neue Schadsoftware eine Version des EternalBlue-Exploits nutzt. Das ist eine Angriffsart, die seit April 2017 bekannt ist und auch schon vom Wanna-Cry-Virus verwendet wurde. Auch der Erpressungsmechanismus ist bekannt: Die Schadsoftware verschlüsselt nicht die Dateien an sich, sondern die Indextabelle des Dateisytems NTFS – ohne diese Tabelle weiss der Computer nicht, wo auf der Festplatte welche Teile welcher Dateien abgelegt sind.

Ihre relative Unbekanntheit mache die neue Ransomware zu einem noch schädlicheren Virus als Wanna Cry, sagen Sicherheitsexperten laut «Forbes». So erklärt etwa der NSA-Analytiker und Cybersecurity Unternehmer David Kennedy, die Ransomware finde Passwörter auf infizierten Computern und könne sie in andere Systeme übertragen.

Admeira Webseite down

Technische Probleme gibt es es derzeit jedoch bei der Schweizer Vermarktungsfirma Admeira. Deren Webseite ist aktuell offline. Admeira bestätigt gegenüber der «Werbewoche», dass es sich bei der Ursache um den Cyberangriff handelt.

Die Schweizer Melde- und Analysestelle Informationssicherung (MELANI) hatte zuvor auf Anfragen der Nachrichtenagenturen sda und Reuters noch erklärt, Schweizer Unternehmen seien gegenwärtig vorliegenden Informationen zufolge nicht betroffen.

Ukrainische Infrastruktur angegriffen

In der Ukraine hatten zuvor neben dem Staatskonzern Antonov auch weitere Banken, Telekom, Post, ein Stromnetzbetreiber, der Kiewer Flughafen und die Regierung Probleme mit ihren Computer-Netzwerken gemeldet. Auch die Deutsche Post in der Ukraine ist betroffen.

Wegen des Hackerangriffs sei auch das Strahlungsmesssystem im havarierten Atomkraftwerk Tschernobyl offline, berichtet die Nachrichtenagenur AFP. Eine Behördensprecherin sagte, die Mitarbeiter seien nun mit tragbaren Geigerzählern vor Ort im Einsatz.

22 Anzeigen bei der Polizei

Bei der Polizei gingen bis zum Nachmittag 22 Anzeigen ein, darunter auch von mindestens einem Mobilfunk-Anbieter. «Die Cyberpolizei klärt gerade die Ursache der Cyberattacke», erklärte ein Sprecher des Innenministeriums.

Es handle es sich um die bislang schwersten Hackerangriffe in der Geschichte des Landes, erklärten Berater des Innenministeriums in Kiew. Möglicherweise sei eine modifizierte Version des Wanna-Cry-Virus dafür verantwortlich. Die Attacken sollen demnach von Russland aus ausgeführt worden sein. Die Netzwerke dürften in einigen Tagen wieder laufen.

«Massive Attacke»

Der russische Ölkonzern Rosneft sprach bei Twitter von einer «massiven Hacker-Attacke». Die Ölproduktion sei aber nicht betroffen, weil die Computer auf ein Reserve-System umgestellt worden seien. Auch die Tochterfirma Baschneft wurde in Mitleidenschaft gezogen.

Der US-Nahrungsmittelkonzern Mondelez International erklärte, Mitarbeiter in verschiedenen Regionen hätten technische Probleme. Es sei unklar, ob dafür Cyber-Angriffe verantwortlich seien. «Wir untersuchen die Sache», erklärt eine Firmensprecherin.

Auch deutsche Firmen sind betroffen. Welche das sind, teilte das Bundesamt für Sicherheit in der Informationstechnik (BSI) nicht mit. Der NDR hatte zuvor berichtet, offenbar sei auch das Computersystem des Beiersdorf-Konzerns attackiert worden.

Erst Mitte Mai traf die Wanna-Cry-Attacke hunderttausende Computer in mehr als 150 Ländern mit dem Betriebssystem Windows. Dabei sorgte eine seit Monaten bekannte Sicherheitslücke im veralteten Windows XP für eine schnelle Ausbreitung. Betroffen waren vor allem Privatpersonen aber auch Unternehmen wie die Deutsche Bahn und Renault. (kaf/dapd/sda/afp)

Erstellt: 27.06.2017, 22:27 Uhr

Artikel zum Thema

Warum «WannaCry» China besonders empfindlich traf

China zählt zu den Ländern, die besonders stark von der jüngsten Cyberattacke getroffen wurden. Das liegt vor allem an seiner Schwäche für Raubkopien. Mehr...

Mit Wochenstart droht ein neues WannaCry-Chaos

Europol warnt, dass die Auswirkungen der Ransomware-Attacke noch deutlich grösser werden könnten. Der Angriff wird als der grösste seiner Art angesehen, den es jemals gegeben hat. Mehr...

Cyber-Attacke «WannaCry» – Patienten müssen nach Hause

Video Ein grossangelegter Cyber-Angriff legt Behörden und Firmen auf der ganzen Welt lahm. Welche Länder am stärksten betroffen sind. Mehr...

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Paid Post

Power und Passion in Ihrer Tasse

Von Venedig bis Palermo ist Kaffee mehr als nur ein Getränk. Er ist eine Kunst. Mit der Kollektion «Ispirazione Italiana» bringt Nespresso ein Stück Italien in Ihr Ritual.

Kommentare

Die Welt in Bildern

Aufwändige Feier: Farbenfroh ist der Karneval in Macedo de Cavaleiros, Portugal. (25. Februar 2020)
(Bild: Octavio Passos/Getty Images) Mehr...