Cyber-Chaos nach Attacke mit Erpresser-Software

APTFilter AVGNews CERT-LatestNews FSecureNews KasperskyNews Malware McAfeeNews Security News SocialEngineering SophosNews SymantecNews ThreatsActivists ThreatsCybercrime ThreatsEconomic ThreatsStrategic TrendMicroNews Uncategorized VulnerabilitiesAdobe VulnerabilitiesAll VulnerabilitiesApple VulnerabilitiesApplications VulnerabilitiesCisco VulnerabilitiesCrypto VulnerabilitiesDBMS VulnerabilitiesFirmware VulnerabilitiesGoogle VulnerabilitiesHardware VulnerabilitiesLinux VulnerabilitiesMicrosoft VulnerabilitiesMozilla VulnerabilitiesNetwork VulnerabilitiesOS VulnerabilitiesVMWare VulnerabilitiesVOIP

Internet. Unternehmen auf allen Kontinenten berichten von einer groß angelegten Cyberattacke. Dabei kam es zu massiven Computerproblemen durch Schadsoftware, zunächst vor allem in der Ukraine und Russland. Opfer waren etwa der größte russische Ölkonzern Rosneft, der internationale Flughafen der Ukraine und die weltgrößte Reederei A.P. Moller-Maersk mit Sitz in Dänemark. Ebenfalls betroffen waren aber auch die Deutsche Post und Metro, deren IT-Systeme in der Ukraine attackiert wurden.

Auch in Österreich hat es zwei Firmen erwischt. Bisher wurden zwei Unternehmen dem Bundeskriminalamt (BK) gemeldet, hieß es Mittwochmittag. Es handelt sich um internationale Unternehmen mit Standort in Wien.

Information

Was Unternehmen tun können (Quelle: Sophos)

– Alle Systeme sollten auf dem aktuellen Stand sein, besonds Windows-Systeme – siehe Microsoft Bulletin MS17-010.

– Das Microsoft-Tool PsExec kann auf Standard-PCs mit einer Endpoint-Protection-Lösung blockiert werden. Damit lässt sich ein Verbreitungsweg des Schadprogramms eindämmen.

– Backups erstellen und die letzte Kopie außerhalb des Netzwerks aufbewahren (möglichst verschlüsselt).

– Mitarbeiter warnen und schulen, dass Sie Emails mit Anhängen immer mit einer gewissen Vorsicht handhaben sollten, vor allem wenn die Absender nicht bekannt sind.

– Anti-Ransomware-Technologie einsetzen.

Radioaktivität in Tschernobyl musste manuell bestimmt werden

In Deutschland wurde auch der Hamburger Kosmetikhersteller Beiersdorf Opfer der Cyberattacke. Es kam zum Ausfall der IT- und Telefonsysteme in der Hamburger Zentrale und allen anderen Standorten.

Besonders hart traf es Unternehmen und Behörden in der Ukraine. An der Ruine des ukrainischen Katastrophen-Atomkraftwerks Tschernobyl musste die Radioaktivität nach dem Ausfall von Windows-Computern manuell gemessen werden. Wichtige technische Systeme der Station funktionierten dort aber normal.

Chaos statt Profit?

Bei dem Angriff wird eine so genannte Erpresser-Software (“Ransomware”) verbreitet. Sie setzt Computer außer Gefecht, indem sie deren Festplatten verschlüsselt. Zugang erhalten Geschädigte erst wieder nach Zahlung von 300 Dollar in der Cyberwährung Bitcoin.

Derzeit kann das Lösegeld aber nicht einmal bezahlt werden: Der E-Mail Service hat den Account geschlossen, an den Opfer des Angriffs ihre Zahlungsdaten schicken sollten. Experten vermuten deshalb, dass die Angreifer eher auf Chaos und nicht auf Profit aus waren.

Angriffe mit Erpressungstrojanern, die Computer durch Verschlüsselung unbenutzbar machen und Lösegeld für die Freischaltung verlangen, sind ein eingespieltes Geschäftsmodell von Online-Kriminellen, deshalb ist die Bezahlfunktion in der Regel relativ einfach gestaltet. Nicht so bei der neuesten Attacke. Die Angreifer verlangten zwar 300 Dollar in der Cyberwährung Bitcoin. Alles Lösegeld sollte aber auf ein einziges Konto gehen, und die zahlenden Opfer sollten sich per E-Mail zu erkennen geben. Nachdem der E-Mail-Anbieter Posteo die genannte Adresse aus dem Verkehr zog, wurde es für die Betroffenen völlig sinnlos, Lösegeld zu zahlen. Bis Mittwochmorgen gingen nur 35 Zahlungen auf dem Bitcoin-Konto ein.

Ähnlich wie WannaCry

Fachleute zogen Parallelen zu dem Angriff mit dem Schadprogramm “WannaCry”, das Mitte Mai rund um den Globus Computer lahmgelegt hatte. Diesmal soll es eine Variante der “Petya”-Malware sein. Das Schadprogramm nutzt bekannte Sicherheitslücken, knackt Admin-Passwörter und übernimmt Admin-Tools, um sich möglichst schnell in Netzwerken zu verbreiten.

Die IT-Sicherheitsfirma Kaspersky geht aber davon aus, dass es sich um eine neue, bisher nicht bekannte Erpresser-Software handelt. Die Experten rieten Unternehmen, ein Update ihrer Windows-Software durchzuführen und Back-ups anzulegen. Nutzer von Windows XP und Windows 7 können sich durch Installation des Sicherheits-Patches MS17-010 schützen, hieß es in einer Aussendung von Kaspersky am Mittwoch.

Eigene Soko für Fälle in Österreich

Die neue Erpresser-Software sei “noch übler” als alte Varianten, sagte Bundeskriminalamtssprecher Vincenz Kriegs-Au. Bei den bisher bekannten Fällen von Ransomware konnten die infizierten Computer normal hochgefahren und sogar Programme gestartet werden. Bei der neuen Schadsoftware liegt das Übel bereits im Vorfeld, denn das Hochfahren ist nicht mehr möglich. Auf dem Bildschirm erscheint nur noch die Information, dass der Computer infiziert ist und wie das Lösegeld überwiesen werden solle.

Kriegs-Au wies auf die Wichtigkeit hin, dass etwaige weitere Betroffene Anzeige erstatten: Nur so erhalten die Ermittler wichtige Informationen, um den digitalen Spuren im Netz folgen zu können.

Alle österreichischen Ransomware-Fälle werden zentral von einer Sonderkommission übernommen. Die Soko CLAVIS bearbeitet diese und steht diesbezüglich auch im laufenden internationalen Kontakt mit den ermittelnden Behörden anderer Staaten und mit Europol, berichtete das BK.

http://www.wienerzeitung.at/nachrichten/top_news/901087_Cyber-Chaos-nach-Attacke-mit-Erpresser-Software.html

Tagged