Cyber-Attacke

WannaCrys Erben: Neue Ransomware sorgt für Chaos in Europa

Über einen Monat nach der WannaCry-Attacke hat ein Erpressungstrojaner erneut in großem Stil zugeschlagen. Diesmal traf es viele Firmen in der Ukraine - aber auch den Milka-Hersteller Mondelez und die Reederei Maersk.
Von Stefan Kirchner mit Material von dpa

Ransomware Petya.A fällt über Europa her Petya.A treibt nach WannaCry nun sein Unwesen vornehmlich in der Ukraine
Foto: picture alliance / dpa Gut sechs Wochen nach der globalen Attacke des Erpressungstrojaners WannaCry hat ein Cyberangriff Dutzende Unternehmen vor allem in der Ukraine lahmgelegt. Betroffen waren aber unter anderem auch der Lebensmittel-Riese Mondelez (unter anderem bekannt für Milka und Oreo), der russische Ölkonzern Rosneft und die dänische Reederei Maersk. Ersten Erkenntnissen zufolge handelte es sich um eine Version der bereits seit vergangenem Jahr bekannten Erpressungs-Software Petya, die Computer verschlüsselt und Lösegeld verlangt. Berichtet wurde aber auch von einer neuen Variante der WannaCry-Ransomware.

Die ukrainische Zentralbank warnte in Kiew [Link entfernt] vor einer Attacke mit einem "unbekannten Virus". Auch der Internetauftritt der ukrainischen Regierung war betroffen. Costin Raiu, ein Sicherheitsforscher bei Kaspersky, teilte mit, der Virus heiße Petya und wurde am 18. Juni 2017 erstellt. Berichten zufolge fordern die Erpresser für die Wiederherstellung der Systeme die Zahlung von jeweils 300 US-Dollar in der schwer zu verfolgenden Kryptowährung Bitcoin.

Erstmals in Aktion trat Petya im März 2016 und verschlüsselte damals im Gegensatz zu anderer Krypto-Malware nicht nur die Daten, sondern auch den Bootsektor der Festplatte. Dadurch wurde ein Start des installierten Betriebssystems verhindert. Zur Verbreitung nutzte Petya damals die im April bekannt gewordene Exploit-Sammlung EternalBlue, die vor allem wegen WannaCry Aufmerksamkeit erhielt.

Ukraine im Zentrum der Attacke

Ransomware Petya.A fällt über Europa her Petya.A treibt nach WannaCry nun sein Unwesen vornehmlich in der Ukraine
Foto: picture alliance / dpa Kunden der staatseigenen Sparkasse der Ukraine wurden an Geldautomaten anderer Banken verwiesen [Link entfernt] . In den Filialen fänden nur Beratungen statt, hieß es. Mindestens vier weitere Banken, drei Energieunternehmen, die staatliche Post sowie ein privater Zusteller seien ebenso betroffen. Auch die Metro in Kiev und der größte Flughafen des Landes, Boryspil, berichteten von Problemen. Die Webseiten mehrerer Medienunternehmen funktionierten ebenfalls nicht mehr. Bei der Polizei gingen bis zum Nachmittag 22 Anzeigen ein, darunter auch von mindestens einem Mobilfunk-Anbieter. "Die Cyberpolizei klärt gerade die Ursache der Cyberattacke", erklärte ein Sprecher des Innenministeriums.

Rosneft sprach bei Twitter von einer "massiven Hacker-Attacke". Die Ölproduktion sei aber nicht betroffen, weil die Computer auf ein Reserve-System umgestellt worden seien. Auch die Tochterfirma Baschneft wurde in Mitleidenschaft gezogen. Mondelez berichtete bei Twitter ohne weitere Details zu nennen von einem IT-Ausfall. Maersk erklärte bei Twitter, die IT-Systeme diverser Geschäftsbereiche seien an verschiedenen Standorten lahmgelegt worden.

Auch in Deutschland ist das erste Unternehmen von der neuen Ransowmare-Welle betroffen. Den Informationen des NDR zufolge ist in der Konzernzentrale von Beiersdorf, unter anderem bekannt für die Marke Nivea, in Hamburg die IT-Technik ausgefallen, sowie die komplette Telefonanlage. Aus diesem Grund ist ein Großteil der Belegschaft schon am Nachmittag nach Hause gegangen, heißt es.

Selbst Tschernobyl ist betroffen

Auch Computer des 1986 havarierten Kernkraftwerks Tschernobyl sind von dem Cyberangriff auf Netzwerke in der Ukraine betroffen worden. "Aufgrund der temporären Abschaltung der Windows-Systeme findet die Kontrolle der Radioaktivität manuell statt", teilte die Agentur für die Verwaltung der Sperrzone mit. Alle technischen Systeme der Station funktionieren aber normal, hieß es. Die Website des abgeschalteten Kraftwerks war allerdings nicht erreichbar.

Im vergangenen Herbst wurde eine neue Stahlhülle über die Atomruine zum Schutz vor radioaktiver Strahlung geschoben. Der nach dem Unglück über dem Reaktor vier eilig errichtete Sarkophag aus Beton war brüchig geworden. Dennoch muss die Umwelt ständig auf den Austritt von Radioaktivität überwacht werden.

System-Updates sind unerlässlich

Mitte Mai hatte die WannaCry-Attacke hunderttausende Computer in mehr als 150 Ländern mit dem Betriebssystem Windows betroffen. Dabei sorgte eine seit Monaten bekannte Sicherheitslücke in diversen Windows-Systemen für eine schnelle Ausbreitung. Betroffen waren vor allem Verbraucher - aber auch Unternehmen wie die Deutsche Bahn und Renault.

Völlig unerwartet stellte Microsoft beim letzten Patchday auch neue Updates für Windows XP bereit, welches bereits seit 2014 nicht mehr für Privatanwender unterstützt wird. Obwohl die von WannaCry genutzte Sicherheitslücke auch in Windows XP vorhanden war, sind solche Computer schwindend gering betroffen gewesen. In den meisten Fällen war die für WannaCry benötigte Rechenleistung einfach nicht ausreichend, sodass Windows-XP-Rechner eher abstürzten, anstatt betroffen zu sein.

In jedem Fall zeigt sich einmal mehr, wie anfällig die moderne IT-Infrastruktur eigentlich ist und wie verheerend sich solche Angriffe auswirken können.

Mehr zum Thema Trojaner