Eilmeldung

Eilmeldung

Neuer Cyber-Angriff mit neuer Schadsoftware?

Der Erpressungstrojaner "WannaCry" ist gerade Geschichte, aber schon legt eine neue Erprssungsoftware Rechner zwischen Paris und Kiew lahm

Sie lesen gerade:

Neuer Cyber-Angriff mit neuer Schadsoftware?

Schriftgrösse Aa Aa

Gut sechs Wochen nach der globalen Attacke des Erpressungstrojaners “WannaCry” hat ein Cyberangriff Dutzende Unternehmen lahmgelegt. Betroffen sind unter anderem der russische Ölkonzern Rosneft oder die dänische Reederei Maersk – als zwei von 2000 befallenen Unternehmen. Rosneft sprach bei Twitter von einer “massiven Hacker-Attacke”. Die Ölproduktion sei aber nicht betroffen, weil die Computer auf ein Reserve-System umgestellt worden seien. Auch die Tochterfirma Baschneft wurde in Mitleidenschaft gezogen. Maersk erklärte bei Twitter, IT-Systeme diverser Geschäftsbereiche seien an verschiedenen Standorten lahmgelegt. Das britische Werbeunternehmen WPP und der französische Industriekonzern Saint-Gobain meldeten, ebenfalls angegriffen worden zu sein. Nach Einschätzung von Fachleuten aus der Schweiz sind vor allem die Ukraine, Russland, England und Indien Opfer der neuen Attacke.

Schwerpunkt Ukraine

Die Ukraine wird seit Monaten besonders schwer angefriffen. Der ukrainische Präsident Petro Poroshenko hatte im Dezember mitgeteilt, dass es nur in den zwei Monaten zuvor 6500 Cyberattacken auf 36 Ziele im Land gegeben habe. Das „Tech-Magazin Wired meint, die Ukraine sei quasi zum russsischen Testlabor”:https://www.wired.com/story/russian-hackers-attack-ukraine/ für Cyberattacken geworden. In der Ukraine waren Systeme der Zentralbank, des internationalen Flughafens, der U-Bahn der Hauptstadt und der Internetauftritt der Regierung betroffen. Kunden der staatseigenen Sparkasse wurden an Geldautomaten anderer Banken verwiesen. Mindestens vier weitere Banken, drei Energieunternehmen, die staatliche Post sowie ein privater Zusteller seien ebenso betroffen. Die Webseiten mehrerer Medienunternehmen funktionierten ebenfalls nicht mehr.

Neuartige Schadsoftware

Experten hielten die Software zuerst für eine Variante der seit vergangenem Jahr bekannten Erpressungs-Software “Petya”, der Computer verschlüsselt und Lösegeld verlangt. Eine Security Firma teilte mit, der Virus sei eine Variante und wurde deshalb “Petya.A” gennant. Berichtet wurde aber auch von einer “WannaCry”-Variante. Inzwischen hat aber die russische Sicherheitsfirma Kaspersky mitgeteilt, die Schadsoftware sei eine neue Art von Ransomware und deshalb „NotPetya“, also „nicht Petya“ getauft.

Für eine Handvoll Dollar – das Geschäft mit dem Lösegeld

Ransomwareattacken dieser Art zielen normalerweise nicht auf ein bestimmtes Unternehmen, der Schädling verteilt sich nach dem Zufallsprinzip und will möglichst viele Rechner infizieren, egal ob Konzern, Klitsche oder Privatrechner. Dafür spricht allein schon die Höhe des „Lösegeldes“ – 300 Dollar, allerdings in Bitcoin. Die Schadsoftware selbst wird quasi frei gehandelt – in den richtigen Foren bekommt man sie zum Schleuderpreis von 28 Dollar. Der Erlös steht in keinem Verhältnis, nach Angaben von Sicherheitsfachleuten nahmen im vergangenen Jahr Cyberkriminelle Lösegeld von mehr als 1 Milliarde Dollar ein. Und das Geschäft boomt, gab es 2015 noch 29 Ransomware-Familien, stieg deren Zahl innerhalb eines Jahres explosionsartig auf 247. Es findet ein Wettlauf statt zwischen Hackern und Sicherheitsfirmen, allerdings mit ungleichen Voraussetzungen: während die Hacker nur eine Sicherheitslücke in den Monokulturen der großen Betriebssysteme finden müssen, um erfolgreich anzugreifen, können die Verteidiger nie sicher sein, wo der nächste Angriff stattfindet. Kurz nach Ausbruch der Attacke am späten Nachmittag waren Lösegeldzahlungen von mehr als 1500 Dollar eingegangen, später stiegen sie auf mehr als 4000 Dollar. Die Lösegeldzahlungen sind öffentlich, die Währung ist anonymisiert, aber nachverfolgbar im Internet.

Nicht nur Unternehmen, selbst Kernkraftwerke sind betroffen

Besonders erschreckend ist, dass selbst kritische Infrastrukturen wie zum Beispiel die Reaktoren von Tschernobyl nicht ausreichend geschützt sind. „Aufgrund der temporären Abschaltung der Windows-Systeme findet die Kontrolle der Radioaktivität manuell statt“, teilte die Agentur für die Verwaltung der Sperrzone am Dienstag mit. Die FAZ zitiert die Internetsicherheitsfirma TrendMicro mit der Aussage, „Cyberkriminelle könnten Angriffe auf Industrial Control Systems (ICS) und andere kritische Infrastrukturen erwägen, um nicht nur Netzwerke sondern ganze Ökosysteme zu lähmen“. Dies könne ein Megatrend der kriminellen Evolution der erpresserischen Vorgehensweisen werden, fürchten die Experten.