Schadsoftware sorgt weltweit für Chaos
Erneut Unternehmen durch eine Internet-Attacke lahmgelegt. Sicherheitslücken wurden nicht konsequent geschlossen.
BERLIN (dpa) Zum zweiten Mal innerhalb von zwei Monaten hat ein massiver Angriff mit Erpressungssoftware Firmen rund um den Globus getroffen. Zu den betroffenen Unternehmen zählen neben dem größten russischen Ölproduzenten Rosneft und der französische Bahn SNCF auch der deutsche NiveaHersteller Beiersdorf. Besonders hart traf es Unternehmen und Behörden in der Ukraine. An der Ruine des ukrainischen Katastrophen Atom kraftwerks Tschernobyl musste die Radioaktivität nach dem Ausfall von Windows-Computern manuell gemessen werden. Wichtige technische Systeme der Station funktionierten dort aber normal.
Die Schadsoftware war nach Einschätzung von Experten gefährlicher als der Erpressungstrojaner „WannaCry“, der Mitte Mai weltweit Systeme lahmlegte. Sie verbreitete sich nicht nur über die damals ausgenutzte Windows-Sicherheitslücke, sondern fand auch einen weiteren Weg, Computer innerhalb eines Netzwerks anzustecken.
Unterdessen sehen Experten Hinweise darauf, dass die Angreifer eher Chaos anrichten wollten und nicht auf Profit aus waren. Die Bezahlfunktion bei der neuen Attacke sei äußerst krude gestaltet. Die Angreifer verlangten zwar 300 Dollar in der Cyberwährung Bitcoin. Das Lösegeld sollte auf ein einziges Konto gehen, die zahlenden Opfer sollten sich per E-Mail zu erkennen geben. Nachdem der E-Mail-Anbieter Posteo die genannte Adresse aus dem Verkehr zog, wurde es für die Betroffenen aber völlig sinnlos, Lösegeld zu zahlen. Bis Mittwochmittag gingen nur etwas mehr als 40 Zahlungen auf dem BitcoinKonto ein. Laut einer Analyse der IT-Sicherheitsfirma Comae Technologies löscht die Schadsoftware die Daten auf der Festplatte, statt sie zu verschlüsseln, wie bei Erpressungsversuchen üblich.
Das IT-Sicherheitsunternehmen Malwarebytes verzeichnete bis Mittwoch rund 18 000 Infektionen in 60 Ländern. Die Ukraine blieb der Schwerpunkt der Attacken. Asien kam am Mittwoch glimpflicher davon als Europa und die USA.
Der neue Angriff breitete sich langsamer aus als der „WannaCry“Trojaner, der binnen eines Tages hunderttausende Computer befiel. Er zog aber mehr international agierende Unternehmen in Mitleidenschaft.
Bei Beiersdorf habe es am Dienstag einen Ausfall der IT und der Telefonanlage gegeben, sagte eine Sprecherin gestern in Hamburg. Neben der Zentrale in der Hansestadt seien auch weltweit Standorte betroffen. Es sei noch zu früh, den entstandenen Schaden zu beziffern.
IT-Sicherheitsexperten waren sich unterdessen uneins, mit welcher Software sie es diesmal überhaupt zu tun haben. Ersten Erkenntnissen zufolge handelte es sich um eine Version der bereits seit vergangenem Jahr bekannten Erpressungs-Software „Petya“. Das Sicherheitsunternehmen Kaspersky kam hingegen zu dem Schluss, es sei keine „Petya“-Variante, sondern eine neue Software, die sich nur als „Petya“tarne.
Der Trojaner habe sich zumindest zum Teil über dieselbe Sicherheitslücke in älterer Windows-Software verbreitet wie auch der im Mai für eine globale Attacke genutzte Erpressungstrojaner „WannaCry“, erklärten die IT-Sicherheitsfirma Symantec und das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Die Windows-Schwachstelle wurde ursprünglich vom US-Abhördienst NSA ausgenutzt. Hacker machten sie im vergangenen Jahr öffentlich. Es gibt zwar schon seit Monaten ein Update, das sie schließt, doch das scheinen viele Firmen noch immer nicht installiert zu haben.
Laut BSI ist die Schadsoftware offenbar über die Update-Funktion einer in der Ukraine weit verbreiteten Buchhaltungssoftware namens MeDoc verteilt worden. Zum Schutz vor der aktuellen Attacke empfiehlt das Bundesamt die DeAktivierung der Auto-UpdateFunktion der Software MeDoc oder die Sperrung der Internetadresse upd.me-doc.com.ua. Außerdem müssen Nutzer auf der MicrosoftSupport-Seite das Update mit der Kennziffer MS17-010 herunterladen, um die Sicherheitslücke zu stopfen.
support.microsoft.com