ROUNDUP 2: Ermittlungen nach neuer Attacke mit Erpressungssoftware

WPP-Chef Martin Sorrell

WPP-Chef Martin Sorrell

In der Tschernobyl-Ruine fallen Windows-Computer zur Überwachung aus. Ähnlich funktionierte bereits Wannacry, jene Schadsoftware, die im Mai weltweit Computer lahmlegte, darunter wichtige Systeme in britischen Krankenhäusern.

Am Mittwoch erklärte das BSI, Meldungen seien plausibel, wonach die Schadsoftware über die Update-Funktion einer in der Ukraine weit verbreiteten Buchhaltungssoftware namens MeDoc verteilt wurde. Während Erpressungstrojaner, die Computer verschlüsseln und Geld für die Freischaltung verlangen, ein eingespieltes Geschäftsmodell Krimineller sind, war die Bezahlfunktion nun äußerst krude gestaltet. Die Angreifer verlangen 300 Dollar in der Digital-Währung Bitcoin für die Freigabe der infizierten Rechner. Das Lösegeld sollte auf ein einziges Konto gehen, die Opfer sollten sich schlicht per E-Mail zu erkennen geben.

Inzwischen hat jedoch der E-Mail-Anbieter Posteo die genannte Adresse aus dem Verkehr gezogen. Bis Mittwochmittag gingen nur etwas mehr als 40 Zahlungen auf dem Bitcoin-Konto ein.

Zum Einsatz kam dabei wieder ein Erpressungs-Trojaner, der Computerdaten verschlüsselt.

Auch Computer des 1986 havarierten Kernkraftwerks Tschernobyl sind von dem Cyberangriff auf Netzwerke in der Ukraine erfasst.

Herr Garbsch, innerhalb weniger Wochen hat es jetzt die zweite massive Cyber-Attacke gegeben, die die Weltwirtschaft getroffen hat. Auch der Nivea-Hersteller Beiersdorf bestätigte heute, Ziel des Angriffs gewesen zu sein. Die weltgrößte Reederei A.P. Moller-Maersk schloss einen weltweiten Ausfall seines Computersystems nicht aus, nachdem etwa in Großbritannien und Irland Probleme bekannt wurden. Die Hacker infizieren die Computer ihrer Opfer mit sogenannter Ransomware beziehungsweise Krypto-Trojanern. Zudem traf es den US-Pharmakonzern Merck.

Die IT-Sicherheitsgruppe IB sprach von rund 80 betroffenen Konzernen, darunter auch der Süßigkeiten-Konzern Mars und der französische Einzelhändler Auchan. Dafür der Werberiese WPP. So ist die Website des Werbevermarkters seit Stunden nicht zu erreichen. Dennoch teilten auch heute namhafte Unternehmen mit, dass ihre Aktivitäten durch die Verschlüsselungs-Software beeinträchtigt sind.

Die Schweizer Melde- und Analysestelle Informationssicherung (MELANI) hatte zuvor auf Anfragen der Nachrichtenagenturen sda und Reuters noch erklärt, Schweizer Unternehmen seien gegenwärtig vorliegenden Informationen zufolge nicht betroffen.

Experten waren sich unterdessen uneins, mit welcher Software sie es diesmal überhaupt zu tun haben. Dagegen erklären die IT-Sicherheitsforscher von Kaspersky, es handele sich um eine komplett neue Software. IT-Experten zufolge nutzt die Software zum Teil dieselbe Sicherheitslücke in älteren Windows-Systemen aus wie „WannaCry“ – allerdings nicht nur. In internen Netzen nutze "Petya" aber zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung und könne damit auch Systeme befallen, die auf aktuellem Stand seien, warnte das BSI.

Die von der Erpressersoftware genutzte Windows-Schwachstelle wurde ursprünglich vom US-Abhördienst NSA verwendet.

Voraussetzung war, dass eine bekannte Windows-Schwachstelle nicht gestopft wurde, obwohl es dafür schon seit Monaten ein entsprechendes Update gab.

Betroffenen von Petya sind derzeit vor allem Russland und die Ukraine.

Hinzu kommt, dass zahlreiche Windows-Rechner mit veralteten Betriebssystemversionen in Maschinen, Kassensystemen und Automaten als sogenannte eingebettete Systeme verbaut sind, erläutert Prof.

Unternehmen in Europa unterschätzen nach Ansicht des Versicherungsmarktes Lloyds of London die langfristigen Kosten von Cyberangriffen. Sie müssten sich unter anderem auf einen Kundenschwund und fallende Aktienkurse einstellen. Lloyds of London bietet Versicherungen gegen Cyberangriffe an und hat nach eigenen Angaben einen Marktanteil von 20 bis 25 Prozent. Es handelt sich um internationale Unternehmen mit Standort in Wien.

Rad: Auftakt zur 104. Tour de France