INTERNET WORLD Business Logo Abo
Trojaner
Security 28.06.2017
Security 28.06.2017

Ransomware-Attacke Erpressungs-Trojaner wütet weltweit

shutterstock.com/Nicescene
shutterstock.com/Nicescene

Eine weit angelegte Cyberattacke hat zahlreiche Firmen und Behörden in Ost- und Mitteleuropa sowie in den USA lahmgelegt. Für den Angriff wird ein Erpressungstrojaners verwendet, der den Zugriff auf Computersysteme sperrt.

Gut sechs Wochen nach der globalen Attacke des Erpressungs-Trojaners "WannaCry" hat ein Cyberangriff Dutzende Unternehmen vor allem in der Ukraine lahmgelegt. Betroffen waren aber unter anderem auch der russische Ölkonzern Rosneft, die dänische Reederei Maersk, der Lebensmittel-Riese Mondelez ("Milka", "Oreo"), die weltgrößte Werbeholding WPP und die US-Pharmafirma Merck. Ersten Erkenntnissen zufolge handelte es sich um eine Version der bereits seit vergangenem Jahr bekannten Erpressungs-Software "Petya", der Computer verschlüsselt und Lösegeld verlangt. Berichtet wurde aber auch von einer "WannaCry"-Variante.

Die ukrainische Zentralbank warnte am Dienstag in Kiew vor einer Attacke mit einem "unbekannten Virus". Auch der Internetauftritt der Regierung war betroffen. Berichten zufolge fordern die Erpresser für die Wiederherstellung der Systeme die Zahlung von jeweils 300 US-Dollar in der Cyberwährung Bitcoin.

Trojaner sorgt für Probleme im Bahn- und Luftverkehr

Kunden der staatseigenen Sparkasse wurden an Geldautomaten anderer Banken verwiesen. In den Filialen fänden nur Beratungen statt, hieß es. Mindestens vier weitere Banken, drei Energieunternehmen, die staatliche Post sowie ein privater Zusteller seien ebenso betroffen. Auch die Eisenbahn und der größte Flughafen des Landes, Boryspil, berichteten von Problemen.

Die Webseiten mehrerer Medienunternehmen funktionierten ebenfalls nicht mehr. Bei der Polizei gingen bis zum Nachmittag 22 Anzeigen ein, darunter auch von mindestens einem Mobilfunk-Anbieter. "Die Cyberpolizei klärt gerade die Ursache der Cyberattacke", erklärte ein Sprecher des Innenministeriums. An der Ruine des ukrainischen Katastrophen-Atomkraftwerks Tschernobyl musste die Radioaktivität nach dem Ausfall von Windows-Computern manuell gemessen werden.

Rosneft sprach bei Twitter von einer "massiven Hacker-Attacke". Die Ölproduktion sei aber nicht betroffen, weil die Computer auf ein Reserve-System umgestellt worden seien. Auch die Tochterfirma Baschneft wurde in Mitleidenschaft gezogen. Maersk erklärte bei Twitter, IT-Systeme diverser Geschäftsbereiche seien an verschiedenen Standorten lahmgelegt. Weitere Details gab es zunächst nicht.

Mitte Mai hatte die "WannaCry"-Attacke hunderttausende Computer in mehr als 150 Ländern mit dem Betriebssystem Windows betroffen. Dabei sorgte eine seit Monaten bekannte Sicherheitslücke in Windows für eine schnelle Ausbreitung. Betroffen waren vor allem Verbraucher - aber auch Unternehmen wie die Deutsche Bahn und Renault.

Deutsche E-Mail-Adresse wurde für Angriffe genutzt

Der mit einer Erpressungssoftware verübte Cyberangriff auf zahlreiche Firmen und Behörden in Europa hat inzwischen auch Ziele in den USA erfasst. Strafverfolger in verschiedenen Ländern nahmen Ermittlungen gegen Unbekannt auf, da auch am Mittwoch weiter unklar war, wer hinter dem Virus steckt.

Die russische IT-Sicherheitsfirma Kaspersky verzeichnete nach eigenen Angaben allein am Dienstag rund 2.000 Angriffe, die meisten davon in Russland und der Ukraine, aber auch in Deutschland, Polen, Italien, Großbritannien, Frankreich und den USA. Der in Berlin ansässige E-Mail-Dienstleister Posteo sperrte nach eigenen Angaben einen Account, der für den Cyberangriff genutzt wurde. Neben Europol nahmen auch französische Strafverfolgungsbehörden Ermittlungen auf.

Petya, WannaCry 2.0 oder gänzlich neue Ransomware

Ersten Erkenntnissen zufolge handelte es sich um eine Version der bereits seit vergangenem Jahr bekannten Erpressungs-Software "Petya", die Computer verschlüsselt und Lösegeld verlangt. Der Trojaner habe sich zumindest zum Teil über dieselbe Sicherheitslücke in älterer Windows-Software verbreitet wie auch der im Mai für eine globale Attacke genutzte Erpressungstrojaner "WannaCry", erklärten die IT-Sicherheitsfirma Symantec und das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Kaspersky teilte hingegen mit, es dürfte sich eher nicht um eine "Petya"-Variante handeln, sondern um eine gänzlich neue Software. Berichten zufolge fordern die Erpresser für die Wiederherstellung der Systeme die Zahlung von jeweils 300 US-Dollar in der Cyberwährung Bitcoin, die anonyme Geldtransfers zulässt.

Das BSI riet dringend dazu, alle IT-Systeme auf den neuesten Stand zu bringen und bekannte Sicherheitslücken zu schließen. "Angesichts der akuten Bedrohungslage rufen wir die Wirtschaft erneut dazu auf, die Risiken der Digitalisierung ernstzunehmen und notwendige Investitionen in die IT-Sicherheit nicht aufzuschieben", erklärte Amtspräsident Arne Schönbohm.

Das könnte Sie auch interessieren