Eine Cyber-Attacke hat weltweit Computer von diversen Firmen lahmgelegt. Experten gehen von einer völlig neuen Art Schadsoftware aus.

1 / 7 Opfer des Hackerangriffs: Bildschirm aus dem Büro des britischen Werbeunternehmens WPP. (27. Juni 2017) kein Anbieter/(Screenshot: Twitter) Ein Ingenieur überprüft live die weltweite Cyber-Bedrohung und Statistiken in seinem Büro in Istanbul. (27. Juni 2017) Keystone «Derzeit nicht abrufbar»: Display zeigt die Meldung auf der Website des britischen Werbeunternehmens WPP. Keystone

Gut sechs Wochen nach der globalen Ransomware-Attacke mit dem Erpressungstrojaner Wanna Cry hat ein Cyber-Angriff Dutzende Unternehmen vor allem in der Ukraine, Russland und Polen lahmgelegt. Die neue Ransomware verschlüsselt dabei die Festplatte eines Computers und fordert 300 Dollar Lösegeld in der Cyberwährung Bitcoin, um wieder an die Daten heranzukommen. Die von den Erpressern benutzte E-Mail-Adresse wurde vom Betreiber Posteo jedoch bereits blockiert – und so dürfte das Bezahlen des Lösegelds nutzlos sein.

Der Hersteller des Anti-Viren-Programms Kaspersky hat rund 2000 Attacken registriert, hauptsächlich in der Ukraine und Russland. Angriffe seien aber auch in Polen, Italien, Grossbritannien, Deutschland, den USA und weiteren Ländern festgestellt worden, so Kaspersky auf Twitter.

Von den Angriffen betroffen waren unter anderen folgende Organisationen:

Petya oder ExPetr – aber sicher EternalBlue

Die Analysen der meisten IT-Sicherheitsfirmen haben ergeben, dass es sich wohl um eine neue Form des bereits bekannten Erpressertrojaners Petya handelt. «Unser Labor hat bestätigt, dass es sich um eine Ransomware der Petya-Familie handelt», meint etwa F-Secure. Auch Symantec geht bislang davon aus, dass die neue Schadsoftware eine Petya-Variante ist.

Die Experten von Kaspersky meinen jedoch, dass sie in der neuen Ransomware zwar einzelne Teile von Petya gefunden hätten, aber auch viele komplett neue Funktionalitäten. Kaspersky schliesst daraus, dass es sich um eine komplett neue Schadsoftware handelt, die Kaspersky ExPetr tauft.

Alle Sicherheitsexperten sind sich bislang einig, dass die neue Schadsoftware eine Version des EternalBlue-Exploits nutzt. Das ist eine Angriffsart, die seit April 2017 bekannt ist und auch schon vom Wanna-Cry-Virus verwendet wurde. Auch der Erpressungsmechanismus ist bekannt: Die Schadsoftware verschlüsselt nicht die Dateien an sich, sondern die Indextabelle des Dateisytems NTFS – ohne diese Tabelle weiss der Computer nicht, wo auf der Festplatte welche Teile welcher Dateien abgelegt sind.

Ihre relative Unbekanntheit mache die neue Ransomware zu einem noch schädlicheren Virus als Wanna Cry, sagen Sicherheitsexperten laut «Forbes». So erklärt etwa der NSA-Analytiker und Cybersecurity Unternehmer David Kennedy, die Ransomware finde Passwörter auf infizierten Computern und könne sie in andere Systeme übertragen.

Admeira Webseite down

Technische Probleme gibt es es derzeit jedoch bei der Schweizer Vermarktungsfirma Admeira. Deren Webseite ist aktuell offline. Admeira bestätigt gegenüber der «Werbewoche», dass es sich bei der Ursache um den Cyberangriff handelt.

Die Schweizer Melde- und Analysestelle Informationssicherung (MELANI) hatte zuvor auf Anfragen der Nachrichtenagenturen sda und Reuters noch erklärt, Schweizer Unternehmen seien gegenwärtig vorliegenden Informationen zufolge nicht betroffen.

Ukrainische Infrastruktur angegriffen

In der Ukraine hatten zuvor neben dem Staatskonzern Antonov auch weitere Banken, Telekom, Post, ein Stromnetzbetreiber, der Kiewer Flughafen und die Regierung Probleme mit ihren Computer-Netzwerken gemeldet. Auch die Deutsche Post in der Ukraine ist betroffen.

Wegen des Hackerangriffs sei auch das Strahlungsmesssystem im havarierten Atomkraftwerk Tschernobyl offline, berichtet die Nachrichtenagenur AFP. Eine Behördensprecherin sagte, die Mitarbeiter seien nun mit tragbaren Geigerzählern vor Ort im Einsatz.

22 Anzeigen bei der Polizei

Bei der Polizei gingen bis zum Nachmittag 22 Anzeigen ein, darunter auch von mindestens einem Mobilfunk-Anbieter. «Die Cyberpolizei klärt gerade die Ursache der Cyberattacke», erklärte ein Sprecher des Innenministeriums.

Es handle es sich um die bislang schwersten Hackerangriffe in der Geschichte des Landes, erklärten Berater des Innenministeriums in Kiew. Möglicherweise sei eine modifizierte Version des Wanna-Cry-Virus dafür verantwortlich. Die Attacken sollen demnach von Russland aus ausgeführt worden sein. Die Netzwerke dürften in einigen Tagen wieder laufen.

«Massive Attacke»

Der russische Ölkonzern Rosneft sprach bei Twitter von einer «massiven Hacker-Attacke». Die Ölproduktion sei aber nicht betroffen, weil die Computer auf ein Reserve-System umgestellt worden seien. Auch die Tochterfirma Baschneft wurde in Mitleidenschaft gezogen.

Der US-Nahrungsmittelkonzern Mondelez International erklärte, Mitarbeiter in verschiedenen Regionen hätten technische Probleme. Es sei unklar, ob dafür Cyber-Angriffe verantwortlich seien. «Wir untersuchen die Sache», erklärt eine Firmensprecherin.

Auch deutsche Firmen sind betroffen. Welche das sind, teilte das Bundesamt für Sicherheit in der Informationstechnik (BSI) nicht mit. Der NDR hatte zuvor berichtet, offenbar sei auch das Computersystem des Beiersdorf-Konzerns attackiert worden.