bedeckt München 23°

Ransomware:Attacke mit Erpressersoftware breitet sich weltweit aus

Die Webseite der Werbeagentur WPP war am Dienstag nach der Attacke mit Erpresser-Software nicht zu erreichen.

(Foto: AFP)
  • Aggressive Software verschlüsselt in mehreren Ländern Computer von Unternehmen udn macht diese unbrauchbar.
  • Die Erpresser wollen 300 US-Dollar, um die Daten wieder freizugeben.
  • Der Angriff nutzt dieselbe Schwachstelle wie die Software Wannacry, die im Mai weltweit Chaos anrichtete.

Von Jannis Brühl, Eva Steinlein und Hakan Tanriverdi

Am Dienstagnachmittag hat ein Angriff mit Erpressersoftware binnen weniger Stunden Computersysteme in mehreren Ländern lahmgelegt. Tausende von Computern dürften betroffen sein. Das ganze Ausmaß der Attacke ist noch unklar, immer mehr Unternehmen melden Einschränkungen ihrer IT-Systeme, darunter der Flughafen von Kiew. Besonders betroffen sind ersten Berichten zufolge Systeme in der Ukraine und Russland, aber auch aus Spanien und Frankreich werden Angriffe gemeldet.

Die Angreifer verschlüsseln die Festplatten ihrer Opfer, die nicht mehr an ihre Daten kommen. Die Systeme werden unbrauchbar. Für die Entschlüsselung verlangen die Erpresser Lösegeld.

Der IT-Sicherheitsexperte Costin Raiu vom Unternehmen Kaspersky sagte der SZ, die Ausbreitung der neuen Software erfolge "sehr schnell". Die Angreifer wollten 300 US-Dollar in Bitcoin, die Zahlungen bestätigen sollten Opfer an eine E-Mail-Adresse beim Anbieter Posteo.

Ein Sprecher des Cyberdepartments der ukrainischen Polizei schreibt auf Facebook von mindestens 22 Zielen im Land. Die Software nutze eine Sicherheitslücke im SMB-Protokoll von Windows. Über dieses Protokoll wird die Datenfreigabe in einem Netzwerk geregelt. Ähnlich funktionierte auch Wannacry. Diese Erpressersoftware legte im Mai in einer bisher beispiellosen Welle weltweit Computer lahm, darunter wichtige Systeme in britischen Krankenhäusern. Dem Fachmann Raiu zufolge handelt es sich bei der aktuellen Attacke um "Petrwrap", eine Ransomware, die auf "Petya" basiert - welche wiederum im Jahr 2016 weltweit Systeme befiel.

In der Ukraine sind betroffen: Die staatliche Telefongesellschaft Ukrtelekom, die Nationalbank sowie drei weitere Banken, die Energieversorger Kiewenergo und Ukrenergo. Außerdem der Medienkonzern "TRK", zu dem unter anderem die Radiostationen Radio Lux und Radio Maximum gehören. Auch die Ableger von Deutscher Post und Metro in der Ukraine sind betroffen.

Aus Russland meldet der Ölkonzern Rosneft einen "massiven" digitalen Angriff. Auch hier erschien der russischen Zeitung Wedomosti zufolge auf Bildschirmen der Mitarbeiter die Forderung, 300 Dollar zu überweisen. Auch die Unternehmen Mars, Nivea und andere in Russland sind betroffen.

Systeme der weltweit tätigen Anwaltskanzlei DLA Piper in Madrid sollen einem spanischen Medienbericht zufolge ebenfalls betroffen sein. Die große Werbeagentur WPP aus Großbritannien hat der BBC zufolge dieselben Probleme. Auch die große Containerschiff-Reederei Maersk in Kopenhagen meldet einen Angriff. Mehrere IT-Systeme seien ausgefallen. Unklar ist jedoch, ob es sich dabei auch um die Erpressersoftware handelt oder um einen Angriff anderer Art.

Die selbe Sicherheitslücke wie Wannacry

Der Angriff nutzt dieselbe Sicherheitslücke wie der Wannacry-Angriff. Sie heißt "Eternalblue" und war zunächst nur dem US-Geheimdienst NSA bekannt - bis der gehackt wurde. Die Hacker veröffentlichten, wie die Lücke ausgenutzt werden kann, nun wird sie auch von Kriminellen genutzt. Der Fall hatte eine Debatte darüber ausgelöst, ob Regierungsbehörden solche Schwachstellen geheimhalten dürfen oder ob sie diese nicht umgehend an die Hersteller melden müssen, um die globale IT-Sicherheit zu stärken.

Petya verwende außerdem Windows-Funktionen, um sich in einem Netzwerk zu verbreiten, sagt Fabian Wosar von der IT-Sicherheitsfirma Emsisoft. "Über diesen Weg können Administratoren Software zentral in einem Netzwerk verteilen, ohne dass sie von PC zu PC laufen müssten." Doch sei ein Rechner mit Petya infiziert, der über die die notwendigen Administratoren-Rechte im Netzwerk verfüge, verbreite sich die Malware von dort aus intern weiter.

Womöglich schlecht programmiert

Wie schon der Wannacry-Angriff könnte aber auch der aktuelle Angriff Analysen von IT-Sicherheitsforschern zufolge schlecht programmiert sein. Normalerweise wird bei einem Ransomware-Angriff pro Opfer eine Adresse genannt, auf die Bitcoins überwiesen werden sollen. Im vorliegenden Fall aber sollen mehrere Opfer Geld auf ein- und dieselbe Adresse überweisen. Das erleichtert es Beobachtern, den Geldfluss im Blick zu behalten - und erschwert es den Tätern, an das erpresste Geld heranzukommen.

Wer hinter der Wannacry-Attacke vom Mai steckt, ist noch immer unklar. Mit der aktuellen Attacke müssen diese Angreifer nichts zu tun haben. Fachleute haben jedoch Hinweise gefunden, die nach Nordkorea deuten. Im Programmcode der Erpressungssoftware finden sich Hinweise auf die mutmaßlich nordkoreanische Hackergruppe Lazarus. Theoretisch ist es aber auch möglich, dass die Hacker mit dem Code eine falsche Fährte legen wollten.

Mitarbeit: Caspar von Au

© SZ.de/segi

Lesen Sie mehr zum Thema

Zur SZ-Startseite