Internet Hacker kapern weltweit Computersysteme

Eine Warnbotschaft wie diese samt Anweisungen der Erpresser taucht auf den von der jüngsten Hacker-Attacke befallenen Rechnern auf.

(Foto: AP)
  • Eine neue Angriffswelle mit Erpresser-Software hat Computersysteme weltweit befallen. Es sind nur Windows-Computer betroffen.
  • Besonders betroffen von der Attacke waren IT-Netzwerke in der Ukraine und Russland, darunter auch der Reaktor von Tschernobyl.
  • Der neue Vorfall erinnert stark an die Wannacry-Attacke vom Mai.
Von Jannis Brühl, Eva Steinlein und Hakan Tanriverdi

Am Dienstagnachmittag hat ein Angriff mit Erpressersoftware binnen weniger Stunden Computersysteme in mehreren Ländern und bei wichtigen Konzernen lahmgelegt. Tausende von Computern dürften betroffen sein. Das ganze Ausmaß der Attacke ist noch unklar, aber immer mehr Unternehmen melden Einschränkungen ihrer Systeme, darunter der Flughafen von Kiew. Besonders betroffen sind ersten Berichten zufolge Systeme in der Ukraine und Russland, aber auch aus Spanien, Großbritannien und Frankreich werden Angriffe gemeldet.

Die Angreifer verschlüsseln die Festplatten ihrer Opfer, die nicht mehr an ihre Daten kommen. Die Systeme werden unbrauchbar. Für die Entschlüsselung verlangen die Erpresser Lösegeld. Der IT-Sicherheitsexperte Costin Raiu vom Unternehmen Kaspersky sagte, die Ausbreitung der neuen Software erfolge sehr schnell. Die Angreifer forderten umgerechnet 300 Dollar in der Krypto-Währung Bitcoin, die Opfer sollten die Zahlungen mit einer Nachricht an eine E-Mail-Adresse beim Berliner Anbieter Posteo bestätigen.

Die Software nutze die "Eternalblue"-Sicherheitslücke im Windows-Betriebssystem, hieß es. Ähnlich funktionierte bereits Wannacry, jene Schadsoftware, die im Mai weltweit Computer lahmlegte, darunter wichtige Systeme in britischen Krankenhäusern. Die neue Angriffswelle weise bezüglich Verbreitungsgrad und -Geschwindigkeit Ähnlichkeiten zu Wannacry auf, teilte auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn mit. Betroffen seien weltweit Unternehmen und Institutionen, nach BSI-Erkenntnissen sind auch deutsche Unternehmen darunter.

Manuelle Kontrolle der Radioaktivität in Tschernobyl

Ein Sprecher des Cyber-Departments der ukrainischen Polizei schrieb auf Facebook von mindestens 22 Zielen im Land. Dort sind betroffen: die staatliche Telefongesellschaft Ukrtelekom, die Nationalbank sowie drei weitere Banken, die Energieversorger Kiewenergo und Ukrenergo, außerdem der Medienkonzern TRK, zu dem unter anderem die Radiostationen Radio Lux und Radio Maximum gehören.

Auch Computer des 1986 havarierten Kernkraftwerks Tschernobyl sind von dem Cyberangriff auf Netzwerke in der Ukraine erfasst. "Aufgrund der temporären Abschaltung der Windows-Systeme findet die Kontrolle der Radioaktivität manuell statt", teilte die Agentur für die Verwaltung der Sperrzone mit. Die Website des abgeschalteten Kraftwerks war nicht erreichbar. Im vergangenen Herbst wurde eine neue Stahlhülle über die Atomruine zum Schutz vor radioaktiver Strahlung geschoben. Der nach dem Unglück über dem Reaktor vier eilig errichtete "Sarkophag" aus Beton war brüchig geworden. Dennoch muss die Umwelt ständig auf den Austritt von Radioaktivität überwacht werden.

Aus Russland meldet der Ölkonzern Rosneft einen massiven digitalen Angriff. Auch hier erschien der russischen Zeitung Wedomosti zufolge auf Bildschirmen der Mitarbeiter die Forderung, 300 Dollar zu überweisen. Auch viele westliche Unternehmen waren betroffen, unter anderem die Deutsche Post und Metro in der Ukraine, nach einem Bericht des NDR auf Beiersdorf ("Nivea"). Die Container-Reederei Maersk in Kopenhagen meldete große Probleme, mehrere IT-Systeme seien ausgefallen. Der Schweizer Nahrungsmittelkonzern Mondelēz International ("Milka") erklärte, Mitarbeiter in verschiedenen Regionen hätten technische Schwierigkeiten. Auch die Systeme der weltweit tätigen Anwaltskanzlei DLA Piper in Madrid sollen betroffen sein, genauso wie die Werbeagentur WPP aus Großbritannien.

Schadsoftware ist seit mindestens einer Woche im Umlauf

Mehreren Fachleuten zufolge handelt es sich um eine Variante der Ransomware "Petya", die schon im Jahr 2016 weltweit Systeme befiel. Dagegen erklären die IT-Sicherheitsforscher von Kaspersky, es handele sich um eine komplett neue Software. Deshalb nennen sie diese explizit "NotPetya". Wie der Wannacry-Angriff könnte auch die aktuelle Attacke laut Analysen von IT-Sicherheitsforschern fehlerhaft programmiert sein. Normalerweise wird bei einem Ransomware-Angriff pro Opfer eine Adresse genannt, auf die Bitcoins überwiesen werden sollen. Hier aber sollen mehrere Opfer Geld an dieselbe Adresse überweisen. Das erschwert es den Tätern, an das erpresste Geld heranzukommen.

Wer hinter der Wannacry-Attacke vom Mai steckt, ist derweil noch immer unklar. Fachleute haben im Programmcode der Erpressungssoftware Hinweise gefunden, die auf die mutmaßlich nordkoreanische Hackergruppe Lazarus weisen. Möglicherweise sollte aber auch eine falsche Fährte gelegt werden.

Die mühsame Jagd auf Lazarus

Tief im Code der Erpresser-Software finden Experten eine mögliche Spur zu Hackern aus Nordkorea. Doch die Beweisführung ist schwierig. Von Tobias Matern und Hakan Tanriverdi mehr...