Wählen Sie Ihre Nachrichten​

Erpressungssoftware: Luxemburg bleibt zunächst verschont
Wirtschaft 3 Min. 28.06.2017

Erpressungssoftware: Luxemburg bleibt zunächst verschont

Erpressungssoftware: Luxemburg bleibt zunächst verschont

Foto: Shutterstock
Wirtschaft 3 Min. 28.06.2017

Erpressungssoftware: Luxemburg bleibt zunächst verschont

Andreas ADAM
Andreas ADAM
Nach dem zweiten massiven Angriff mit Erpressungssoftware innerhalb von zwei Monaten kämpfen Firmen rund um den Globus mit den Folgen der Cyber-Attacke. Im Großherzogtum wurde bis zum Mittwochnachmittag kein entsprechender Fall bekannt.

(dpa/aa) - Nach dem zweiten massiven Angriff mit Erpressungssoftware innerhalb von zwei Monaten kämpfen Firmen rund um den Globus mit den Folgen der Cyber-Attacke. 

Zu den betroffenen Unternehmen zählen die dänische Reederei Maersk, der größte russische Ölproduzent Rosneft, der US-Pharmakonzern Merck, die französische Bahn SNCF und der Lebensmittel-Riese Mondelez.

Besonders hart traf es Unternehmen und Behörden in der Ukraine. An der Ruine des ukrainischen Katastrophen-Atomkraftwerks Tschernobyl musste die Radioaktivität nach dem Ausfall von Windows-Computern manuell gemessen werden. Wichtige technische Systeme der Station funktionierten dort aber normal.

Gefährdung besteht auch in Luxemburg

In Luxemburg war bis zum Mittwochnachmittag kein entsprechender Fall bekannt, wie Michael Hamm vom „Computer Incident Response Center Luxembourg“ (Circl) dem "Luxemburger Wort" erklärte. Eine Gefährdung bestehe aber durchaus, insbesondere, wenn die Bedrohung nicht ernst genommen werde.

Das Circl hat auf seiner Webseite eine Liste mit Verhaltensregeln bei Ransomwareattacken veröffentlicht, die auch in diesem und anderen Fällen Sinn machen. Bei einer Ransomwareattacke solle man nicht das geforderte Lösegeld zahlen, so Hamm. Betroffene könnten sich an das Circl wenden.

Beim Notfallteam für Computersicherheit der luxemburgischen Regierung (Govcert.lu) gab es noch keine Anzeichen eines Vorfalls, wie Direktor Laurent Weber erklärte.

Angreifer sind möglicherweise auf Chaos aus

Die Schadsoftware hatte sich am Dienstag nicht nur über die Windows-Sicherheitslücke, die im Mai der Trojaner "WannaCry" ausgenutzt hatte, verbreitet, sondern fand auch einen weiteren Weg, Computer innerhalb eines Netzwerks anzustecken. Unterdessen sehen Experten Hinweise darauf, dass die Angreifer eher Chaos anrichten wollten und nicht auf Profit aus waren.

Der neue Virus setzt nicht nur auf die Sicherheitslücke, die bereits von der NSA ausgenutzt wurde, sondern auch auf andere Lücken.
Der neue Virus setzt nicht nur auf die Sicherheitslücke, die bereits von der NSA ausgenutzt wurde, sondern auch auf andere Lücken.
AFP

Während Erpressungstrojaner, die Computer verschlüsseln und Lösegeld für die Freischaltung verlangen, ein eingespieltes Geschäftsmodell von Online-Kriminellen sind, war die Bezahlfunktion bei der neuen Attacke äußerst krude gestaltet.

Die Angreifer verlangten 300 Dollar in der Cyberwährung Bitcoin. Das Lösegeld sollte auf ein einziges Konto gehen, die zahlenden Opfer sollten sich per E-Mail zu erkennen geben. 

Nachdem der E-Mail-Anbieter Posteo die genannte Adresse aus dem Verkehr zog, wurde es für die Betroffenen völlig sinnlos, Lösegeld zu zahlen. Bis Mittwochmorgen gingen nur 35 Zahlungen auf dem Bitcoin-Konto ein.

Die russische IT-Sicherheitsfirma Kaspersky verzeichnete am Dienstag rund 2000 erfolgreiche Angriffe, die meisten davon in Russland und der Ukraine, aber auch in Deutschland, Polen, Italien, Großbritannien, Frankreich und den USA.

Experten uneins über die Art der Erpressersoftware

IT-Sicherheitsexperten waren sich unterdessen uneins, mit welcher Software sie es diesmal überhaupt zu tun haben. Ersten Erkenntnissen zufolge handelte es sich um eine Version der bereits seit vergangenem Jahr bekannten Erpressungs-Software "Petya". Kaspersky kam hingegen zu dem Schluss, es sei keine "Petya"-Variante, sondern eine neue Software, die sich nur als "Petya" tarne.

Der Trojaner habe sich zumindest zum Teil über dieselbe Sicherheitslücke in älterer Windows-Software verbreitet wie auch der im Mai für eine globale Attacke genutzte Erpressungstrojaner "WannaCry", erklärten die IT-Sicherheitsfirma Symantec und das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI).

In internen Netzen nutze "Petya" aber zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung aus und könne damit auch Systeme befallen, die auf aktuellem Stand seien, warnte das BSI. 

Auch aktuelle Windows 10 Systeme betroffen

Die Windows-Schwachstelle wurde ursprünglich vom US-Abhördienst NSA ausgenutzt. Hacker machten sie im vergangenen Jahr öffentlich. Es gibt zwar schon seit Monaten ein Update, das sie schließt - doch das scheinen viele Firmen noch immer nicht installiert zu haben.   

Laut Falk Garbsch vom Chaos Computer Club setzt der neue Virus nicht nur auf die Sicherheitslücke, die bereits von der NSA ausgenutzt wurde, sondern auch auf andere Lücken. 

"Das ist der Grund, warum sich dieser Virus auch auf Windows 10 Systeme weiterverbreiten kann, sich durch große Netzwerke fräst und da quasi alles mitnimmt, was er irgendwie runterreißen kann." Es reiche im Zweifelsfall aus, dass ein einzelner Rechner in einem Firmennetzwerk infiziert werde.


Lesen Sie mehr zu diesem Thema