Neue Ransomware-Angriffswelle

Gegenwärtig findet offenbar erneut eine massive Angriffswelle mit einem Verschlüsselungstrojaner statt. Betroffen sind vor allem Russland und die Ukraine, Meldungen über gehackte Rechner gibt es aber auch schon aus anderen europäischen Ländern.

In mehreren Ländern sind Behörden und Konzerne offenbar Opfer einer Welle an Infektionen mit dem Erpressungstrojaner Petya geworden. Das geht aus ersten Berichten der Nachrichtenagenturen Tass und Reuters hervor. Den Sicherheitsforschern der Group-IB zufolge sind demnach in Russland Unternehmen wie Rosneft, Bashneft und Nivea Opfer des Angriffs. In der Ukraine hat es laut Reuters die Zentralbank getroffen, an Kiews Flughafen gibt es Beeinträchtigungen. Außerdem ist das Netzwerk der Regierung offline, twitterte Vizeministerpräsident Pawlo Rosenko. Dabei veröffentlichte er auch ein Foto seines Computerbildschirms und der zeigt einen Text, den Opfer vom Erpressungstrojaner Petya kennen.

Auch wenn die Berichte noch uneinheitlich sind und teilweise von einem "unbekannten Virus" die Rede ist, erinnert der Ausbruch an denWannaCry-Angriff der Mitte Mai Rechner in aller Welt lahmlegte und unterschiedliche Unternehmen betraf. Ersten – noch unbestätigten – Analysen zufolge handelt es sich um Infektionen mit dem Erpressungstrojaner Petya, der Dateien auf befallenen Rechnern verschlüsselt. Gegen Bezahlung eines Lösegelds sollen die Dateien wieder freigegeben werden, aber darauf ist kein Verlass. Angeblich kommt bei der Angriffswelle erneut eine Sicherheitslücke zum Einsatz, die von der Equation Group entdeckt wurde, die angeblich zur NSA gehört. Deren Arsenal war von einer Hackergruppe namens Shadow Brokers veröffentlicht worden.

[Update 27.06.2017 – 16:50 Uhr] Inzwischen hat Avira bestätigt, dass gegenwärtig eine Angriffswelle mit dem Erpressungstrojaner Petya läuft, für die die Lücke namens "Eternal Blue" ausgenutzt wird. Diese Sicherheitslücke in Windows Dateifreigaben (SMB) kam schon bei WannaCry zum Einsatz. Die dänische Redeerei Maersk hat derweil erklärt, die IT-Systeme seien an mehreren Standorten lahmgelegt. Mehr Details gab es bislang nicht. In der Ukraine berichtete auch die Eisenbahn von Problemen, bei der Polizei gingen mehrere Anzeigen ein und das Innenministerium erklärte, der Ursache würde nachgegangen. Derweil gibt es auch aus Spanien Berichte von Infektionen.

[Update 27.06.2017 – 17:10 Uhr] Petya hatte zuerst im März 2016 für Aufsehen gesorgt: Anders als andere Kryptotrojaner verschlüsselte der nicht nur bestimmte Dateien, sondern manipulierte den Boot-Bereich der primären Festplatte. Dadurch konnte kein Betriebssystem starten. Stattdessen erscheint eine Nachricht, in der das Lösegeld verlangt wird. Im aktuellen Fall wohl 300 US-Dollar, zu zahlen in Bitcoins. Dann solle man eine E-Mail schreiben, um den Schlüssel zur Rettung der Daten erhalten zu können. Mehrere Betroffene haben das offenbar bereits getan, denn erste Zahlungen an die Bitcoin-Wallet wurden bereits beobachtet. Für den ursprünglichen Trojaner war im April 2016 ein Passwort-Generator veröffentlicht worden. Aktuell dürfte aber eine neue Variante zum Einsatz kommen.

[Update 27.06.2017 – 17:30 Uhr] Dem NDR zufolge ist auch der deutsche Beiersdorf-Konzern von dem Angriff betroffen. Dem gehört unter anderem das Kosmetikunternehmen Nivea, das bereits in russischen Berichten genannt worden war. Laut NDR geht seit Dienstagmittag in der Hamburger Konzernzentrale nichts mehr. Alle Computer sowie die Telefonanlage seien ausgefallen und viele Mitarbeiter seien deswegen frühzeitig nach Hause gegangen.

Radioaktivität um Tschernobyl manuell überwacht

[Update 27.06.2017 – 18:15 Uhr] Von dem Angriff sind auch Computer des 1986 havarierten KernkraftwerksTschernobyl betroffen. "Aufgrund der temporären Abschaltung der Windows-Systeme findet die Kontrolle der Radioaktivität manuell statt", teilte die Agentur für die Verwaltung der Sperrzonemit. Alle technischen Systeme der Station funktionieren aber normal, hieß es. Im vergangenen Herbst wurde eine neue Stahlhülle über die Atomruine zum Schutz vor radioaktiver Strahlung geschoben. Der nach dem Unglück über dem Reaktor vier eilig errichtete "Sarkophag" aus Beton war brüchig geworden. Dennoch muss die Umwelt ständig auf den Austritt von Radioaktivität überwacht werden.

[Update 27.06.2017 – 19:40 Uhr] Während sich immer mehr Unternehmen als betroffen herausstellen, hat die Analyse des Angriffswerkzeugs begonnen. Wie das BSIbestätigte, setzt die neue Variante von Petya auf die vom WannaCry-Angriff bekannte Lücke zum Einfall in ein Netzwerk: "In internen Netzen benutzt Petya zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung und kann damit auch Systeme befallen, die auf aktuellem Patchstand sind." Zu den Opfern gehören bereits das US-Pharmaunternehmen Merck, die Anwaltskanzlei DLA Piper, der Nahrungsmittelriese Mondelēz (u.a. Milka), der Medienkonzern WPP und der Industriekonzern Saint Gobain.

Kaspersky rät allen Unternehmen die eingesetzte Windows-Software upzudaten, ihre Sicherheitslösungen zu überprüfen und zu gewährleisten, dass Back-ups sowie Ransomware-Entdeckung zum Einsatz kommen.

Unternehmenskunden von Kaspersky Lab sollten zudem:
•    prüfen, ob der komplette Schutzumfang wie empfohlen aktiviert ist; und ob die KSN beziehungsweise System-Watcher-Komponente aktiviert ist;
•    das AppLocker-Feature einsetzen, damit eine Ausführung aller Dateien, die „perfc.dat“ im Namen haben, verhindert wird;
•    sowie PSExec der Sysinternals Suite einsetzen.

Wie man auf heise.de lesen konnte, hat der E-Mail Anbieter Posteo eine Mailadresse gesperrt, die für den Angriffe genutzt wurde. Somit gibt es für die Opfer vorerst keine Möglichkeit die Cyberkriminellen zu kontaktieren. Wir empfehlen ohnehin, das Lösegeld nicht zu zahlen.

Support