28 Juni 2017

Die Zahl der Ransomeware-Angriffe steigt weiter drastisch. Nach dem WannaCry-Hack, der international zu Chaos geführt hat, verbreitet sich nun ein Virus in der ganzen Welt. Vor allem kleine und mittlere Unternehmen könnten betroffen sein.

Die sozialen Netzwerke sind voll davon: Anscheinend gibt es eine neue Reihe von Ransomware-Attacken. Dieses Mal haben sie ihren Ursprung wohl in der Ukraine. Die Malware könnte der Petya-Familie angehören. 

Wie funktioniert Petya?

Anders als andere Crypto-Trojaner verschlüsselt Petya nicht einzelne Dateien, sondern hat es auf das gesamte Dateisystem abgesehen. Der Virus greift den MBR (master boot record) an, das für das Laden des Betriebssystems nach dem Computerstart verantwortlich ist.

„Zur Verbreitung scheint sie eine Kombination aus einem SMB Exploit (EternalBlue), wie er auch bei WannaCry zum Einsatz kam, zu verwenden. So verschafft sie sich Zugriff auf das Netzwerk, wo sie sich durch PsExec weiter verbreitet„, erklärt ESET Forscher Robert Lipovsky.

Diese gefährliche Kombination kann die Ursache dafür sein, warum der Ransomware-Ausbruch so schnell und global erfolgt. Es braucht nur einen ungepatchten PC, um in ein Netzwerk zu gelangen. Mit Administratorrechten verbreitet sich die Ransomware dann auf alle anderen Computer im Netzwerk.

Viele Unternehmen bereits betroffen

Ein Tweet des Journalisten Christian Borys behauptet, dass der Cyberattack „angeblich“ gegen Banken, Stromnetze und Postfirmen geht. Auch die Regierung sei Opfer des Angriffs geworden. Borys veröffentlichte ein Bild, welches vom Facebook-Account des stellvertretenden Ministerpräsidenten der Ukraine Pavlo Rozenko stammt. Darin ist ein womöglich verschlüsselter Computer erkennbar.

Ein Bild eines möglicherweise betroffenen Computers (Bild: Group-IB / Twitter)

 

Die ukrainische Nationalbank informiert die Besucher ihrer Webseite über Ransomware-Attacken auf andere Banken. Es heißt: „Derzeit hat der Finanzsektor die Sicherheitsmaßnahmen verstärkt, um den Hackerangriffen auf viele Finanzmarktteilnehmer entgegenzustehen.

Reuters bestätigt unterdessen einen Sicherheitsvorfall bei Ukrenergo, einem ukrainischen Energielieferanten. Ein Sprecher erklärte, dass es „keine Auswirkungen auf die Stromversorgung gibt“. Allerdings ist es noch zu früh, um das zu beurteilen.

Ransomware verbreitet sich

Es scheint so, als ob die neue Ransomware-Attacke nicht nur die Ukraine betrifft. Der Independent titelt, dass auch Spanien und Indien betroffen sein sollen, sowie das dänische Schifffahrtsunternehmen Maersk und die britische Werbefirma WPP.

Auf der Homepage der britischen Werbefirma ist folgende Nachricht zu lesen: „Die WPP Webseite ist durch wichtige routinemäßige Wartungsarbeiten nicht zu erreichen.“ WPP hat über Twitter bestätigt, dass sie Opfer eines Cyber-Angriffs geworden sind: „Unsere IT-Systeme in mehreren WPP-Unternehmen wurden von einer vermutlichen Cyberattack heimgesucht. Wir unternehmen entsprechende Maßnahmen und werden so schnell wie möglich wieder verfügbar sein.“

Ob und wie weit sich der Trojaner noch verbreiten wird bleibt abzuwarten. Sicher ist, dass auch dieser neue Angriff für viele Unternehmen zur Falle wird.

 

Dieser Artikel basiert auf einem Beitrag der ESET,
Juni 2017.

Quelle Titelbild: iStock / wakila