Cyber-Angriffe: “Die wollten absichtlich stören”

APTFilter AVGNews CERT-LatestNews FSecureNews KasperskyNews Malware McAfeeNews Security News SocialEngineering SophosNews SymantecNews ThreatsActivists ThreatsCybercrime ThreatsEconomic ThreatsStrategic TrendMicroNews Uncategorized VulnerabilitiesAdobe VulnerabilitiesAll VulnerabilitiesApple VulnerabilitiesApplications VulnerabilitiesCisco VulnerabilitiesCrypto VulnerabilitiesDBMS VulnerabilitiesFirmware VulnerabilitiesGoogle VulnerabilitiesHardware VulnerabilitiesLinux VulnerabilitiesMicrosoft VulnerabilitiesMozilla VulnerabilitiesNetwork VulnerabilitiesOS VulnerabilitiesVMWare VulnerabilitiesVOIP

Unternehmen in aller Welt sind Opfer einer zweiten großen Cyber-Attacke innerhalb weniger Wochen geworden. Experten rätseln nun über die Motive der Angreifer. Auch wenn der Trojaner nach einem Lösegeld verlangt, scheint Geldgier nicht das wahre Motiv zu sein. Ein Experte meint: “Die wollten Sachen absichtlich stören.” 

Banken, ein Flughafen, eine der weltgrößten Reedereien und die Strahlungsmessung an der Atomruine Tschernobyl – die neue Attacke eines Erpressungstrojaners griff zwar nicht so flächendeckend um sich wie “WannaCry” Mitte Mai. Aber die Liste der Opfer ist furchteinflößender.

Zweiter Angriff in sechs Wochen

Der zweite Angriff binnen gut sechs Wochen führt einmal mehr vor Augen, wie verwundbar die vernetzte Welt sein kann. Und dass sich selbst Großkonzerne, die viele Millionen für ihre Sicherheit ausgeben, nicht sicher fühlen können. Bei global agierenden Unternehmen wie der Reederei Maersk hat das dann auch weltweit spürbare Folgen, wenn etwa Container nicht entladen werden.Die neue Attacke wirft viele Fragen auf. Über welche Wege genau breitete sich die Erpressungssoftware aus, dass es diesmal viele Unternehmen, aber wenige Verbraucher traf? Warum scheinen die Angreifer im Gegensatz zu typischen Internet-Kriminellen so wenig an den Lösegeldzahlungen interessiert zu sein? Wer könnte dahinterstecken?

Am härtesten getroffen

Was man weiß, ist, dass die Ukraine zuerst und am härtesten traf. Der dortige Steuersoftware-Anbieter Me-Doc gilt einigen IT-Sicherheitsexperten als “Victim Zero” – das erste Opfer, über das sich die Infektion ausbreitete. Möglicherweise über ein manipuliertes Update der Me-Doc-Software. Das könnte zumindest erklären, warum es in dem Land ein Unternehmen nach dem anderen traf. Die Software verschlüsselt die Festplatte von Computern und fordert Lösegeld für die Freischaltung.Das ist ein lukratives Geschäft, das Internet-Kriminellen hunderte Millionen Dollar einbringen kann. Doch der Angriff von Dienstag war schon ungewöhnlich, weil die enorme Durchschlagskraft der Schadsoftware mit einer seltsamen Nachlässigkeit beim Geldeintreiben gepaart war. Opfer sollten sich nach dem Bezahlen per E-Mail bei den Angreifern melden.

Posteo schnell blockiert

Die Adresse beim deutschen Mail-Dienst Posteo wurde – wie auch nicht anders zu erwarten – schnell blockiert. Bis Mittwochmittag zeigte die Bitcoin-Börse der Angreifer gerade einmal 42 Geldeingänge ein. So gehe man nicht vor, wenn man Geld verdienen wolle, ist Helge Husemann von der IT-Sicherheitsfirma Malwarebytes überzeugt. “Die wollten Sachen absichtlich stören.”Weltweit zählte Malwarebytes zum Mittwoch 18.000 Infektionen und rund 80 Ländern. Wie schon bei “WannaCry” diente die eine einst vom US-Abhördienst NSA ausgenutzte Schwachstelle in älteren Windows-Betriebssystemen als ein Einfalltor. Es sei zwar traurig, dass auch nach dem “WannaCry”-Weckruf immer noch nicht alle die Lücke per Update geschlossen hätten, sagt Husemann. «Aber wenn dieses Ding vor sechs Wochen losgegangen wäre, hätte “‘WannaCry’ dagegen wie ein Kinderstreich ausgesehen.” Ein einziger Computer im Unternehmen könne reichen, um ein ganzen Netzwerk zu infizieren. Und immerhin hatte WannaCry” mehrere hunderttausend Rechner erfasst.

Viele offene Türen

Die Tür für Angreifer steht vielerorts weiter offen: Der Antivirus-Spezialist Avast entdeckte bei einem Sicherheitscheck vergangene Woche noch 38 Millionen PCs, auf denen die  Schwachstelle nicht gestopft war. Unternehmen weltweit müssten sich gegen ähnliche künftige Angriffe rüsten, betonte der Computer-Konzern IBM.

Weitere Links zum Thema

In Deutschland bringt die Attacke wieder die Debatte um die Staatstrojaner-Pläne der Bundesregierung auf den Plan. Der Bundestag hatte erst vergangene Woche mit den Stimmen der großen Koalition ein Gesetz verabschiedet, dass es Ermittlungsbehörden erlaubt, Geräte Verdächtiger zu infizieren. Ziel sei, auf Krypto-Kommunikation etwa per WhatsApp zugreifen zu können, bevor sie verschlüsselt oder nachdem sie entschlüsselt wird.

Gefahr für Sicherheit

Experten warnen schon lange, dass ein solches Vorgehen die Sicherheit für alle senken könne, wenn die Behörden dafür Schwachstellen horten, statt sie schließen zu lassen. “Staatliche Stellen müssen alles dafür tun, damit solche Lücken schnellstmöglich geschlossen werden”», forderte der Grünen-Bundestagsabgeordnete Konstantin von Notz. Auch Husemann von Malwarebytes zeigt sich überzeugt, dass “das Spiel weitergehen” werde, solange sich das Vorgehen der Behörden und nicht ändere.Ungewöhnlich ist diesmal auch, dass IT-Sicherheitsforscher sich uneins sind, mit was genau sie es hier überhaupt zu tun haben. Erst wurde die Schadsoftware für eine Variante des seit vergangenem Jahr bekannten Erpressungstrojaners “Petya” gehalten, dann kam die russische IT-Sicherheitsfirma Kaspersky zu dem Schluss, dass es doch ein neues Programm sei und taufte es erst in “NotPetya” und dann in “ExPetr” um. Malwarebytes nennt es wegen einiger Ähnlichkeiten “Petya-esque” und Konkurrent Bitdefender griff gleich zum neuen Namen “GoldenEye”, wie seinerzeit im James-Bond-Film.

Ransomware

Digitale Erpressung

Archiv: Wand mit Binärcodes am 18.03.2015 in Hannover

Bei dem weltweiten Cyber-Angriff handelt es sich um eine Ransomware-Attacke. Als solche werden laut Bundesamt für Sicherheit in der Informationstechnik (BSI) Schadprogramme bezeichnet, die den Zugriff auf Daten und Systeme einschränken oder verhindern und diese Ressourcen nur gegen Zahlung eines Lösegeldes wieder freigeben. “Cyber-Angriffe durch Ransomware sind eine Form digitaler Erpressung”, ordnet das BSI ein.

Das Problem mit dieser Schadsoftware ist, dass sie sich tief in den Computersystemen verankert. Ist die Schadsoftware professionell programmiert, werden die Datenträger verschlüsselt. Eine Wiederherstellung der verschlüsselten Daten ist dann nur mit dem passenden Schlüssel möglich. Diesen bieten die Kriminellen gegen Geld zum Kauf an.

Viele Ransomware-Schädlinge verschlüsseln zusätzlich auch angeschlossene externe Medien (z.B. USB-Sticks) sowie Netzlaufwerke. Laut BSI gelangt Ransomware am häufigsten durch das Öffnen von Anhängen von Spam-E-Mails oder das Besuchen von infizierten Webseiten in die Computersysteme.

“Wanna Decryptor”

Illustration zeigt die Shilouette eines Menschen und Computer vor Binär-Code

Die Waffe der Angreifer im Fall der britischen Krankenhäuser war Experten zufolge die Schadsoftware “Wanna Decryptor”, auch bekannt als “Wanna Cry”. Sie missbraucht eine einst von der NSA ausgenutzte Sicherheitslücke. Nachdem unbekannte Hacker im vergangenen Jahr gestohlene technische Informationen der NSA dazu veröffentlicht hatten, wurden die Schwachstelle eigentlich gestopft. Aber nicht alle Computer wurden auf den neuesten Stand gebracht – und das rächte sich jetzt unter anderem im britischen Gesundheitssystem.

Malware und Ransomware

Malware ist ein allgemeiner Begriff, der Software bezeichnet, die schädlich ist, wie John Villasenor, Professor an der Universität von Kalifornien, erklärt. Ransomware sei ein Typ von Malware, der in erster Linie Computer übernehme und deren Nutzer daran hindere, an Daten zu gelangen, bis ein Lösegeld dafür gezahlt werde, so Villasenor.

So wird ein PC infiziert

In den meisten Fällen befällt die Ransomware den Computer durch Links oder Anhänge in schädlichen E-Mails, auch bekannt als sogenannte Phishing-Mails. Der beste Tipp sei hierbei, einfach nicht auf Links in E-Mails zu klicken, sagt Jerome Segura von der US-Softwarefirma Malwarebytes, die Softwares gegen die Ransomware anbietet. Ziel der Ransomware sei es, den Nutzer dazu zu bekommen, einen schädlichen Code zu aktivieren. Klicken die Nutzer einmal auf den schädlichen Link oder den Anhang, gelangt die Schadsoftware auf den Computer.

Was kann man tun?

Der erste Schritt sei es, umsichtig zu sein, so Experten. Eine “perfekte Lösung” für das Problem gäbe es jedoch nicht, sagt John Villasenor. Nutzer sollten regelmäßig ihre Daten sichern und prüfen, dass Sicherheits-Updates installiert werden, sobald diese veröffentlicht werden. Die Attacke von Freitag nutzte eine Sicherheitslücke von Microsoft Windows, für die nach Angaben des Unternehmens bereits Updates bereitgestellt worden waren. Viele Nutzer hatten sie jedoch noch nicht installiert.

Nutzer sollten zudem auf schadhafte E-Mails achten, die oft als E-Mails von Firmen oder Menschen getarnt sind, mit denen häufig E-Mail-Kontakt besteht. Es sei wichtig, nicht auf Links oder Anhänge zu klicken, da diese die Ransomware freisetzten, so Villasenor. Zentrale erste Maßnahme ist immer, befallene Systeme vom Netz zu isolieren – durch Ziehen der Netzwerkstecker oder Abschalten der WLAN-Adapter.

Nicht erpressen lassen

Nicht bezahlen, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Es gebe keine Garantie, dass die Täter nach der Überweisung die Daten wieder entschlüsselten. Stattdessen könne der Erfolg sie zu weiteren Erpressungen verleiten, betont die für Computersicherheit zuständige Behörde. Entscheidend sei vielmehr, die Infektion des Systems zu stoppen. In jedem Fall sollte auch eine Anzeige bei der Polizei erfolgen. (Quelle: ZDF, ap, dpa)

http://www.heute.de/nach-globaler-cyber-attacke-kein-loesegeld-nur-stoeren-47466060.html

Tagged