Ransomware-Attacke

Hacker legen Zentralbank und Flughafen in Kiew lahm

Von Jonas Jansen und Alexander Armbruster
© Reuters, FAZ.NET

Etwas mehr als einen Monat nach der Wannacry-Attacke hat ein ähnlicher Cyber-Angriff viele Unternehmen in Europa getroffen und unter Druck gesetzt. Bei dieser speziellen Angriffsart werden Dateien auf Computersystemen von einer Schadsoftware verschlüsselt und nur nach Zahlung eines Lösegelds (englisch: Ransom) wieder freigegeben.

Besonders geschädigt war nach ersten Erkenntnissen die Ukraine: Dort waren Systeme der Zentralbank, des internationalen Flughafens Kiew-Borispyl und der U-Bahn der Hauptstadt betroffen. Auf Facebook und dem Kurznachrichtendienst Twitter bestätigten die Unternehmen den Angriff.

Auch Computer des 1986 havarierten Kernkraftwerks Tschernobyl funktionierten durch den Cyberangriff auf Netzwerke in der Ukraine nicht mehr ordnungsgemäß. „Aufgrund der temporären Abschaltung der Windows-Systeme findet die Kontrolle der Radioaktivität manuell statt“, teilte die Agentur für die Verwaltung der Sperrzone am Dienstag mit. Alle technischen Systeme der Station funktionieren aber normal, hieß es. Die Website des abgeschalteten Kraftwerks war allerdings nicht erreichbar.

Auch die Deutsche Post in der Ukraine war Ziel der Attacke. „Unsere DHL-Systeme sind zum Teil von dem heutigen Cyberangriff auf verschiedene Organisationen in der Ukraine betroffen", sagte ein Sprecher. Getroffen habe es die Express-Sparte, andere Unternehmensteile seien nicht betroffen. Die Post habe Maßnahmen eingeleitet, um Sendungen weiter bearbeiten zu können. Der Konzern arbeite daran, das Problem zu beheben. Kunden würden informiert. Der Metro-Konzern bestätigte einen Angriff auf die Systeme in der Ukraine.

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigte in einer Mitteilung, dass deutsche Unternehmen von dem Angriff betroffen seien. BSI-Präsident Arne Schönbohm teilte mit, dass die Schadsoftware die gleiche Schwachstelle ausnutze, wie es die Ransomware Wannacry tat. Ein seit Monaten verfügbares Update von Microsoft „hätte in vielen Fällen eine Infektion verhindert“, sagte Schönbohm.

Die Ukraine ist seit einigen Monaten besonders im Visier von Hackern: Der ukrainische Präsident Petro Poroshenko hatte im Dezember mitgeteilt, dass es nur in den zwei Monaten zuvor 6500 Cyberattacken auf 36 Ziele im Land gegeben habe.

Auch das russische Ölunternehmen Rosneft meldete, dass es angegriffen werde. Das dänische Logistikunternehmen Maersk bestätigte, dass seine IT-Systeme an mehreren Standorten und Geschäftseinheiten ausgefallen seien - zum Beispiel im Vereinigten Königreich und in Irland. Nach Angaben der BBC sind ebenso im Falle von Rosneft Büros in Großbritannien betroffen. Das britische Werbeunternehmen WPP und der französische Industriekonzern Saint-Gobain meldeten, ebenfalls angegriffen worden zu sein.

Die ukrainische Zentralbank warnte vor einer Attacke mit einem „unbekannten Virus“. Kunden der staatseigenen Sparkasse wurden an Geldautomaten anderer Banken verwiesen. In den Filialen fänden nur Beratungen statt, hieß es. Mindestens vier weitere Banken, drei Energie-Unternehmen, die staatliche Post sowie ein privater Zusteller seien ebenso betroffen. Die Webseiten mehrerer Medienunternehmen funktionierten ebenfalls nicht mehr.

Bei der ukrainischen Polizei gingen bis zum Nachmittag 22 Anzeigen ein, darunter auch von mindestens einem Mobilfunkanbieter. „Die Cyberpolizei klärt gerade die Ursache der Cyberattacke“, erklärte ein Sprecher des Innenministeriums.

Nach Einschätzung von Fachleuten aus der Schweiz sind nun vor allem die Ukraine, Russland, England und Indien Opfer der Hackerangriffe. So äußerte sich die Melde- und Analysestelle Informationssicherung der Schweizer Regierung auf Anfrage der Nachrichtenagentur Reuters.

Die nun erhobene Lösegeldforderung beträgt 300 Dollar je infiziertem System. Auch in Sicherheitskreisen herrschte zunächst Unsicherheit: Nach Angaben von Costin Raiu, Leiter des Analyse-Teams des russischen IT-Sicherheitsunternehmens Kaspersky, ist diese Variante des Petrwrap- oder Petya genannten Wurmes erstmals am 18. Juni gesichtet worden. Nun breitet er sich aber aus. Das IT-Sicherheitsunternehmen Fireeye untersucht nach eigenen Angaben derzeit, ob der Wurm eine vollkommen neue Bedrohung darstellt oder er die Fortführung eines schon bekannten Angriffs ist. Großangelegte Ransomware-Attacken träten derzeit in regelmäßigen Abständen auf.

Alan Woodward, ein Computerfachmann von der Universität Surrey, sagte der BBC: „Es scheint eine Variante eines Stückes Ransomware zu sein, die im vergangenen Jahr auftauchte.“ Diese sei zu Beginn dieses Jahre erneuert worden von „Kriminellen, nachdem bestimmte Erscheinungsformen zerschlagen wurden. Die Ransomeware wurde Petya genannt und die erneuerte Version Petrwrap.“

„Nicht sicher, ob das die neueste Version war“

Besonders teuer scheint sie zudem nicht zu sein. „Sie kostete nur 28 Dollar (22 Pfund) in den Foren“, sagte Andrei Barysevich, ein Sprecher der Sicherheitsfirma Recorded Future, gegenüber der BBC. Er habe entsprechende Angebote in den zurückliegenden zwölf Monaten in vielen Internetforen gesehen. „Aber wir sind nicht sicher, ob sie die neueste Version oder eine neue Variante derselben verwendet haben.“ Am Abend teilte Kasperksy mit, dass jüngste Untersuchungen auf eine neue Art von Ransomware hinwiesen. Die Forscher benennen den Wurm deshalb schlicht als „NotPetya“.

Betroffen seien nach ersten Erkenntnissen rund 2000 Nutzer in ganz Europa. Kurz nach Ausbruch der Attacke am späten Nachmittag waren Lösegeldzahlungen von mehr als 1500 Dollar eingegangen, später stiegen sie auf mehr als 4000 Dollar. Dadurch, dass das Lösegeld in Bitcoin gefordert wird, kann jedermann im Internet verfolgen, wie viel Geld gezahlt wird.

Die Ransomware-Attacke Wannacry hat den Erpressern zum jetzigen Zeitpunkt rund 120.000 Euro an Lösegeld eingebracht, im Mai waren Hunderttausende Computersysteme davon betroffen gewesen, darunter beispielsweise auch die Deutsche Bahn.

Quelle: FAZ.NET
  Zur Startseite

Themen zu diesem Beitrag:
Europa | Kiew | Ukraine | BBC | BSI | DHL | Facebook | Microsoft | Rosneft | Twitter | Dollar | Zentralbank