Ermittlungen nach neuer Cyberattacke

CERT-LatestNews KasperskyNews Malware Security News SocialEngineering SymantecNews ThreatsActivists ThreatsCybercrime ThreatsEconomic ThreatsStrategic VulnerabilitiesAll

Die neue Cyberattacke auf zahlreiche Firmen und Behörden hat neben Zielen in Europa auch die USA erfasst. Anders als der Erpressungstrojaner “WannaCry” breitete sich der Angriff langsamer aus – traf aber mehr internationale Konzerne. Experten sehen Hinweise darauf, dass die Angreifer eher auf Chaos und nicht Profit aus waren. 

Der zweite massive Angriff mit Erpressungssoftware in zwei Monaten hat ein neues Ausmaß der Gefahr offenbart. Die Schadsoftware verbreitete sich am Dienstag nicht nur über die Windows-Sicherheitslücke, die im Mai der Trojaner “WannaCry”, sondern fand auch einen weiteren Weg, Computer innerhalb eines Netzwerks anzustecken. Wie schwer die neue Attacke das Geschäft einiger betroffener Unternehmen wie die Reederei Maersk beeinträchtigen wird, blieb zunächst weiter unklar. Unterdessen sehen Experten Hinweise darauf, dass die Angreifer eher auf Chaos und nicht Profit aus waren.

Tausende Angriffe – auch in den USA

Denn während Erpressungstrojaner, die Computer verschlüsseln und Lösegeld für die Freischaltung verlangen, ein eingespieltes Geschäftsmodell von Online-Kriminellen sind, war die Bezahlfunktion bei der neuen Attacke äußerst krude gestaltet. Die Angreifer verlangten zwar 300 Dollar in der Cyberwährung Bitcoin. Alles Lösegeld sollte auf ein einziges Konto gehen, die zahlenden Opfer sollten sich per E-Mail zu erkennen geben. Nachdem der E-Mail-Anbieter Posteo die genannte Adresse aus dem Verkehr zog, wurde es für die Betroffenen völlig sinnlos, Lösegeld zu zahlen. Bis Mittwochmorgen gingen nur 35 Zahlungen auf dem Bitcoin-Konto ein.Die russische IT-Sicherheitsfirma Kaspersky verzeichnete am Dienstag rund 2.000 erfolgreiche Angriffe, die meisten davon in Russland und der Ukraine, aber auch in Deutschland, Polen, Italien, Großbritannien, Frankreich und den USA. Der neue Angriff breitete sich damit langsamer aus als der “WannaCry”-Trojaner, der binnen eines Tages hunderttausende Computer befiel – aber er zog mehr international agierende Unternehmen in Mitleidenschaft.Betroffen waren unter anderem auch der US-Pharmakonzern Merck, die französische Bahn SNCF, der Lebensmittel-Riese Mondelez (“Milka”, “Oreo”), der russische Ölkonzern Rosneft. Strafverfolger in verschiedenen Ländern nahmen Ermittlungen gegen Unbekannt auf, da auch am Mittwoch weiter unklar war, wer hinter dem Virus steckt.

Software als “Petya” getarnt?

IT-Sicherheitsexperten waren sich unterdessen uneins, mit welcher Sofware sie es diesmal überhaupt zu tun haben. Ersten Erkenntnissen zufolge handelte es sich um eine Version der bereits seit vergangenem Jahr bekannten Erpressungs-Software “Petya”. Kaspersky kam hingegen zu dem Schluss, es sei keine “Petya”-Variante, sondern eine neue Software, die sich nur als “Petya” tarne.

Weitere Links zum Thema

Der Trojaner habe sich zumindest zum Teil über dieselbe Sicherheitslücke in älterer Windows-Software verbreitet wie auch der im Mai für eine globale Attacke genutzte Erpressungstrojaner “WannaCry”, erklärten die IT-Sicherheitsfirma Symantec und das Bundesamt für Sicherheit in der Informationstechnik (BSI).In internen Netzen nutze “Petya” aber zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung und könne damit auch Systeme befallen, die auf aktuellem Stand seien, warnte das BSI.

Ukraine besonders hart getroffen

Besonders hart traf es Unternehmen und Behörden in der Ukraine. An der Ruine des ukrainischen Katastrophen-Atomkraftwerks Tschernobyl musste die Radioaktivität nach dem Ausfall von Windows-Computern manuell gemessen werden. Die ukrainische Zentralbank warnte vor einer Attacke mit einem “unbekannten Virus”, auch der Internetauftritt der Regierung war betroffen.Die Windows-Schwachstelle wurde ursprünglich vom US-Abhördienst NSA ausgenutzt. Hacker machten sie im vergangenen Jahr öffentlich. Es gibt zwar schon seit Monaten ein Update, das sie schließt – doch das scheinen viele Firmen noch immer nicht installiert zu haben.Mitte Mai hatte die “WannaCry”-Attacke hunderttausende Windows-Computer in mehr als 150 Ländern infiziert. Betroffen waren damals vor allem Privatpersonen – aber auch Unternehmen wie die Deutsche Bahn und Renault.

Ransomware

Digitale Erpressung

Archiv: Wand mit Binärcodes am 18.03.2015 in Hannover

Bei dem weltweiten Cyber-Angriff handelt es sich um eine Ransomware-Attacke. Als solche werden laut Bundesamt für Sicherheit in der Informationstechnik (BSI) Schadprogramme bezeichnet, die den Zugriff auf Daten und Systeme einschränken oder verhindern und diese Ressourcen nur gegen Zahlung eines Lösegeldes wieder freigeben. “Cyber-Angriffe durch Ransomware sind eine Form digitaler Erpressung”, ordnet das BSI ein.

Das Problem mit dieser Schadsoftware ist, dass sie sich tief in den Computersystemen verankert. Ist die Schadsoftware professionell programmiert, werden die Datenträger verschlüsselt. Eine Wiederherstellung der verschlüsselten Daten ist dann nur mit dem passenden Schlüssel möglich. Diesen bieten die Kriminellen gegen Geld zum Kauf an.

Viele Ransomware-Schädlinge verschlüsseln zusätzlich auch angeschlossene externe Medien (z.B. USB-Sticks) sowie Netzlaufwerke. Laut BSI gelangt Ransomware am häufigsten durch das Öffnen von Anhängen von Spam-E-Mails oder das Besuchen von infizierten Webseiten in die Computersysteme.

“Wanna Decryptor”

Illustration zeigt die Shilouette eines Menschen und Computer vor Binär-Code

Die Waffe der Angreifer im Fall der britischen Krankenhäuser war Experten zufolge die Schadsoftware “Wanna Decryptor”, auch bekannt als “Wanna Cry”. Sie missbraucht eine einst von der NSA ausgenutzte Sicherheitslücke. Nachdem unbekannte Hacker im vergangenen Jahr gestohlene technische Informationen der NSA dazu veröffentlicht hatten, wurden die Schwachstelle eigentlich gestopft. Aber nicht alle Computer wurden auf den neuesten Stand gebracht – und das rächte sich jetzt unter anderem im britischen Gesundheitssystem.

Malware und Ransomware

Malware ist ein allgemeiner Begriff, der Software bezeichnet, die schädlich ist, wie John Villasenor, Professor an der Universität von Kalifornien, erklärt. Ransomware sei ein Typ von Malware, der in erster Linie Computer übernehme und deren Nutzer daran hindere, an Daten zu gelangen, bis ein Lösegeld dafür gezahlt werde, so Villasenor.

So wird ein PC infiziert

In den meisten Fällen befällt die Ransomware den Computer durch Links oder Anhänge in schädlichen E-Mails, auch bekannt als sogenannte Phishing-Mails. Der beste Tipp sei hierbei, einfach nicht auf Links in E-Mails zu klicken, sagt Jerome Segura von der US-Softwarefirma Malwarebytes, die Softwares gegen die Ransomware anbietet. Ziel der Ransomware sei es, den Nutzer dazu zu bekommen, einen schädlichen Code zu aktivieren. Klicken die Nutzer einmal auf den schädlichen Link oder den Anhang, gelangt die Schadsoftware auf den Computer.

Was kann man tun?

Der erste Schritt sei es, umsichtig zu sein, so Experten. Eine “perfekte Lösung” für das Problem gäbe es jedoch nicht, sagt John Villasenor. Nutzer sollten regelmäßig ihre Daten sichern und prüfen, dass Sicherheits-Updates installiert werden, sobald diese veröffentlicht werden. Die Attacke von Freitag nutzte eine Sicherheitslücke von Microsoft Windows, für die nach Angaben des Unternehmens bereits Updates bereitgestellt worden waren. Viele Nutzer hatten sie jedoch noch nicht installiert.

Nutzer sollten zudem auf schadhafte E-Mails achten, die oft als E-Mails von Firmen oder Menschen getarnt sind, mit denen häufig E-Mail-Kontakt besteht. Es sei wichtig, nicht auf Links oder Anhänge zu klicken, da diese die Ransomware freisetzten, so Villasenor. Zentrale erste Maßnahme ist immer, befallene Systeme vom Netz zu isolieren – durch Ziehen der Netzwerkstecker oder Abschalten der WLAN-Adapter.

Nicht erpressen lassen

Nicht bezahlen, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Es gebe keine Garantie, dass die Täter nach der Überweisung die Daten wieder entschlüsselten. Stattdessen könne der Erfolg sie zu weiteren Erpressungen verleiten, betont die für Computersicherheit zuständige Behörde. Entscheidend sei vielmehr, die Infektion des Systems zu stoppen. In jedem Fall sollte auch eine Anzeige bei der Polizei erfolgen. (Quelle: ZDF, ap, dpa)

http://www.heute.de/ermittlungen-nach-neuer-cyberattacke-47462178.html

Tagged