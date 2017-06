Nach dem Chaos rund um die Wannecry-Schadsoftware haben Cyberkriminelle erneut zahlreiche Unternehmen in Europa erfolgreich angegriffen. Wieder geht es um Erpressung.

Ein groß angelegter Cyberangriff mit Hilfe einer Erpressungs-Software legt derzeit zahreiche IT-Systeme von europäischen Unternehmen wie Fluggesellschaften, Banken und Versorgern lahm. Ein Schwerpunkt des Angriffs ist laut The Verge dabei die Ukraine, in der unter anderem die Zentralbank, sowie die U-Bahn, die Eisenbahn und der größte Flughafen des Landes Boryspil der Hauptstadt Kiew einen IT-Angriff bestätigten. Auch der ukrainische Energieversorger Ukrenego meldete einen Angriff – ohne, dass dies allerdings Stromausfälle zur Folge gehabt habe. Der Internetauftritt der Regierung war ebenfalls betroffen.

We can confirm that Maersk IT systems are down across multiple sites and business units. We are currently assessing the situation. — Maersk (@Maersk) June 27, 2017

Auch europäische Unternehmen außerhalb der Ukraine meldeten Angriffe: Das dänische Logistikunternehmen Maersk bestätigte via Twitter den Ausfall mehrerer IT-Systeme, ebenso das russische Ölunternehmen Rosnoft. Betroffen waren aber unter anderem auch der US-Lebensmittel-Riese Mondelez, der für Marken wie Milka und Oreo bekannt ist. Vereinzelt werden laut The Verge auch Angriffe in Frankreich und Großbritannien gemeldet.

Petrwrap: Opfer sollen 300 Dollar in Bitcoin überweisen

Auf den infizierten Computern werden die Nutzer aufgefordert, den Kriminellen umgerechnet 300 US-Dollar zu überweisen und danach eine persönliche ID und die Nummer der Bitcoin-Wallet an eine E-Mail-Adresse von Posteo zu schicken. Der Berliner Anbieter ermöglicht das Registrieren komplett anonymer E-Mail-Adressen. Laut Posteo ist das betreffende E-Mail-Konto bereits seit Dienstagmittag gesperrt – die Summe zu bezahlen und dann die Erpresser kontaktieren zu wollen, dürfte also nicht funktionieren.

Kunden der staatseigenen ukrainischen Sparkasse wurden an Geldautomaten anderer Banken verwiesen. In den Filialen fänden nur Beratungen statt, hieß es. Mindestens vier weitere Banken, drei Energieunternehmen, die staatliche Post sowie ein privater Zusteller seien ebenso betroffen. Die Webseiten mehrerer Medienunternehmen funktionierten ebenfalls nicht mehr. Bei der Polizei gingen bis zum Nachmittag 22 Anzeigen ein, darunter auch von mindestens einem Mobilfunk-Anbieter. „Die Cyberpolizei klärt gerade die Ursache der Cyberattacke“, erklärte ein Sprecher des Innenministeriums.

The fast-spreading Petrwrap/Petya ransomware sample we have was compiled on June 18, 2017 according to its PE timestamp. pic.twitter.com/CHUYvsiQ08 — Costin Raiu (@craiu) June 27, 2017

Rosneft sprach bei Twitter von einer „massiven Hacker-Attacke“. Die Ölproduktion sei aber nicht betroffen, weil die Computer auf ein Reserve-System umgestellt worden seien. Auch die Tochterfirma Baschneft wurde in Mitleidenschaft gezogen. Mondelez berichtete bei Twitter ohne weitere Details von einem „IT-Ausfall“. Maersk erklärte bei Twitter, IT-Systeme diverser Geschäftsbereiche seien an verschiedenen Standorten lahmgelegt.

Kaspersky identifiziert Schadsoftware als Petrwrap

IT-Sicherheitsforscher von Kaspersky Lab identifizierten die Schadsoftware als den Virus Petrwrap, eine Variante der Ransomware Petya oder Petya.A, die bereits im März von Kaspersky entdeckt wurde. Eine von den IT-Spezialisten untersuchte Software wurde am 18. Juni kompiliert und dürfte damit schon länger aktiv sein. Laut einer Analyse von Virustotal erkennen derzeit aber nur 61 Antiviren-Softwares die Schadsoftware korrekt.

Petrwrap/Petya ransomware variant with contact wowsmith123456@posteo.net spreading worldwide, large number of countries affected. — Costin Raiu (@craiu) June 27, 2017

Derzeit ist noch unklar, wie sich die Software verbreitet und ob sie wie Wannecry dabei bislang unbekannte Sicherheitslücken in Software ausnutzt – sogenannte Zero-Day-Exploits. Der Aufforderung, das Geld zu überweisen, sind bisher nur wenige der Opfer nachgekommen, wie ein Blick in die Bitcoin-Blockchain zeigt.

Mitte Mai hatte die Wannacry-Attacke hunderttausende Computer in mehr als 150 Ländern mit dem Betriebssystem Windows betroffen. Dabei sorgte eine seit Monaten bekannte Sicherheitslücke im veralteten Windows XP für eine schnelle Ausbreitung. Betroffen waren vor allem Verbraucher – aber auch Unternehmen wie die Deutsche Bahn und Renault. Mit Material von dpa

