News

Ransomware „Petya“ – nun hat es auch deutsche Firmen getroffen

Zahlreiche ukrainische Behörden und Unternehmen sowie die Reederei Maersk und der russische Staatskonzern Rosneft sind einen Monat nach dem „Wanna Cry“-Angriff erneut Ziel eines Angriffs mit Ransomware geworden. Bei dem neuen Trojaner-Angriff wird eine Variante von Petya genutzt, allerdings ist der Verbreitungsweg bisher noch unklar.

Verschlüsselungstrojaner Petya sorgt für Aufregung

Offenbar sind zahlreiche Firmen in der Ukraine gestern erneut zum Ziel eines Hacker-Angriff mit einer Ransomware geworden. Allerdings wurde dafür nicht die Wanna-Cry-Ransomware genutzt, sondern es handelte sich dabei um den Verschlüsselungstrojaner Petya, der bereits seit längeren bekannt ist.

Von der dänischen Reederei Maersk wurde am Dienstagmorgen mitgeteilt, dass man zum Ziel eines erneuten Cyber-Angriffs geworden sei, durch den die Systeme lahm gelegt wurden. Auch von der russischen Ölfirma Rosneft kam die Mitteilung, dass das Unternehmen einem „mächtigen Hackerangriff“ zum Opfer gefallen sei. Allerdings gab es zu diesem Zeitpunkt noch keine Informationen darüber, wie sich die Ransomware verbreitet.

Erste erfolgreiche Angriffe fanden in der Ukraine statt, wo mehrere Energie-Unternehmen wie Kyivenergo, die Post, Ukrenergo, verschiedene Banken und Medien sowie Mobilfunkanbieter betroffen waren. Von dem Vizepremier-Minister des Landes, Pavlo Rozenko, wurde über den Angriff getwittert.

Virus wurde von einem Update ukrainischer Software verbreitet

Die Hacker haben wieder weltweit zugeschlagen und in diesem Fall mit der Espressungssoftware Petya. Verbreitet hat sich der Virus offenbar über ein Update einer ukrainischen Software.

Laut der ukrainischen Polizei war ein Update für eine ukrainische Buchhaltungssoftware dafür verantwortlich, dass die Ransomware übertragen wurde. Nach eigenen Angaben verzeichnete die russische IT-Sicherheitsfirma Kaspersky am gestrigen Dienstag über 2.000 Angriffe. Die meisten davon fanden in Russland und der Ukraine statt, aber auch in Polen, Italien, Großbritannien, Frankreich, den USA und in Deutschland kam es zu Angriffen.

Von den unbekannten Erpressern werden 300 USD in der digitalen Währung Bitcoin gefordert, um den infizierten Computer wieder herzustellen. Von der letzten bekannten Version der Petya-Ransomware wurde wie von Wanna Cry nur ein einziges Bitcoin-Wallet genutzt und Zahlungen müssten demnach vermutlich manuell zugeordnet werden. Am gestrigen Dienstag wurden sieben Zahlungen über je 300 US-Dollar vorgenommen. Die Ermittlungen wurden von Europool und den französischen Strafverfolgungsbehörden aufgenommen.

Tschernobyl-Überwachung musste abgeschaltet werden

Die Computer in dem 1986 havarierten Tschernobyl mussten abgeschaltet werden, da diese mit Petya infiziert wurden. Die Radioaktivität musste von den Mitarbeitern zwar manuell mit Geigerzählern überprüft werden, aber die wichtigen technischen Systeme der Station arbeiteten normal. Des Weiteren waren auch zahlreiche Behörden und Unternehmen sowie der Flughafen in Kiew und die Eisenbahn betroffen.

Zwei US-amerikanische Krankenhäuser wurden von dem Trojaner angegriffen und in den sozialen Medien wurde von Patienten berichtet, dass Operationen verschoben wurden. Zudem waren auch der Lebensmittelkonzern Mondelēz betroffen sowie die US-Pharmafirma Merck.

Trojaner ist bereits bekannt

Bei dem Trojaner handelt es sich nach ersten Erkenntnissen um eine Version der Erpressungssoftware Petya, die bereits seit vergangenen Jahr bekannt ist. Die Computer werden von der Software verschlüsselt und es wird ein Lösegeld verlangt. Laut der IT-Sicherheitsfirma Symantec nutzt der Trojaner zumindest teilweise dieselbe Schwachstelle wie Wanna Cry, der vor sechs Wochen bereits für Aufregung sorgte.

Jedoch breitet sich Petya laut dem Experten Ryan Kalember von der Securityfirma Proofpoint nicht ganz so schnell aus wie Wanna Cry. Der Grund dafür ist, dass die Software sich nur dann ausbreitet, wenn zwei Netzwerke direkten Kontakt haben und nicht breit gefächert über das Internet wie Wanna Cry.

Allerdings tritt die Schwachstelle nur bei älterer Windows-Software auf und wurde ursprünglich vom US-Abhördienst NASA genutzt. Im vergangenen Jahr machten Hacker diese Lücke öffentlich. Es gibt bereits seit Monaten ein Update, von dem diese Sicherheitslücke geschlossen wird. Der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI) weist darauf hin, dass angesichts der akuten Bedrohungslage die Wirtschaft die Risiken der Digitalisierung ernst nehmen sollte und die notwendigen Investitionen in die IT-Sicherheit nicht aufschieben sollte.

UPDATE: Ransomware ist nicht Petya

Laut den Experten von Kasperksy Lab legen Untersuchungen nun nah, dass es sich bei der Schadsoftware NICHT, wie vielerorts berichtet und auf Twitter diskutiert um die bekannte Petya-Software handelt, sondern um eine neue Ransomware – diese ist bisher noch nicht aufgetaucht. Der neue Schädling wird von Kaspersky „Expetr“ genannt.

Das Lösegeld, das von der Ransomware gefordert wird, beträgt umgerechnet 266 Euro und das ist auf den ersten Blick nicht viel – doch das kann in kurzer Zeit sehr stark ansteigen. Der F5-Experte Ralf Sydekum erklärt zudem, dass sich eine viel wichtigere Frage aufdrängt: Wie wird die nationale Infrastruktur durch solche Angriffe nachhaltig beeinträchtigt? Das Problem ist, dass es keine einfache Lösung gibt, mit der Ransomware umzugehen. Daher müssten die Gefahrenquellen bestimmt und beseitigt werden, sobald sich die Aufregung gelegt hat.

 

Das Windows-Software-Update schnellstmöglich aufspielen

Von den Experten von Kapersky Lab wird ebenso wie von den Forschern zahlreicher Security-Anbieter dringend dazu geraten, schnellstmöglich das Update für Windows-Software einzuspielen, die Sicherheitslösungen zu überprüfen und zu gewährleisten, das neben Backups auch Lösungen zur Ransomware-Entdeckung eingesetzt werden.

Bezahlen bringt nichts

Abgesehen davon, dass von der Bezahlung des Lösegelds abgeraten wird, ist dies auch gar nicht mehr möglich. Die von den Angreifern genutzte Kontaktmail beim Berliner E-Mail-Provider ist bereits seit gestern Mittag gesperrt. Selbst wenn das Lösegeld bezahlt wird, kann also kein Kontakt mehr zu den Angreifern aufgenommen werden.

Simon Lüthje

Ich bin der Gründer dieses Blogs und interessiere mich für alles was mit Technik zu tun hat, bin jedoch auch dem Zocken nicht abgeneigt. Geboren wurde ich in Hamburg, wohne nun jedoch in Bad Segeberg.

Ähnliche Artikel

Schreibe einen Kommentar

Schaltfläche "Zurück zum Anfang"