Weltweiter Cyberangriff mit Erpresser-Schadprogramm

Weltweiter Cyberangriff mit Erpresser-Schadprogramm

Moskau – Tausende Behörden, Unternehmen und Einzelpersonen in dutzenden Ländern sind Opfer eines Hacker-Angriffs mit erpresserischer Schadsoftware geworden. In der Nacht auf Samstag meldeten dann Sicherheitsforscher, ein Mittel gegen die Attacke gefunden zu haben. Die Schweiz ist vom Cyber-Angriff nicht betroffen gewesen. Bei der Melde- und Analysestelle Informationssicherung (MELANI) gingen keine Schadensmeldungen ein.

Die weltweite Cyber-Attacke mit Erpressungssoftware wurde laut Experten in der Nacht zum Samstag von einem IT-Forscher gestoppt. Der Betreiber des Blogs «MalwareTech» fand nach eigenen Angaben einen Web-Domainnamen im Computercode der Schadsoftware und registrierte ihn.

Offensichtlich sei die Domain von den Angreifern als eine Art Notbremse für ihre Software gedacht gewesen, erklärte Ryan Kalember von der IT-Sicherheitsfirma Proofpoint der Zeitung britischen «Guardian» am Samstag. Die Registrierung durch «MalwareTech» dämmte die Attacke ein, auch wenn sich damit für bereits befallene Rechner nichts änderte.

Auch die IT-Sicherheitsfirma Malwarebytes stellte fest, dass mit der Anmeldung der Domain die Ausbreitung des Erpressungstrojaners gestoppt wurde. Der Sicherheitsforscher von «MalwareTech» selbst räumte ein, dass ihm anfangs nicht bewusst gewesen sei, dass er mit dem Schritt die Attacke abwürgen würde. Er sei ein «Held durch Zufall», erklärte auch Kalember von Proofpoint.

Britische Spitäler betroffen
Die ersten Angaben zu dem Cyberangriff kamen aus Grossbritannien. Wie die britische Gesundheitsbehörde NHS mitteilte, waren insgesamt 16 Unternehmen im Gesundheitsbereich betroffen, von denen einige mehrere Spitäler betreiben.

Nach den Worten von Premierministerin Theresa May blieben Patientendaten von dem Angriff offenbar aber unberührt. Das Schadprogramm sorgte in vielen Spitälern für Chaos. In einigen Fällen mussten Krankenwagen zu anderen Kliniken umdirigiert werden, andere Spitäler forderten Patienten auf, sie nicht aufzusuchen.

Für das Chaos ist nach NHS-Angaben mutmasslich das Virus Wanna Decryptor verantwortlich. Im Internet kursierten Aufnahmen von NHS-Computerbildschirmen mit der Botschaft «Ups, Deine Daten wurden verschlüsselt». Es folgte eine Lösegeldforderung in Höhe von 275 Euro, zahlbar in der Internet-Währung Bitcoin.

Opfer des Schadprogramms waren laut NHS auch Internet-Nutzer in Australien, Belgien, Frankreich, Italien, Mexiko und Deutschland. Insgesamt gab es aus rund 100 Ländern Schadensmeldungen.

In Spanien wurde beispielsweise der Telekommunikationsriese Telefónica lahmgelegt. Die Deutsche Bahn war von dem Trojaner erfasst worden, ohne aber dass der Zugsverkehr beeinträchtigt wurde, wie der Konzern am Samstagmorgen mitteilte. In den USA war unter anderem auch der Kurier- und Logistikkonzern Fedex betroffen.

Das russische Innenministerium erklärte, es sei Opfer eines Hacker-Angriffs geworden. Rund 1000 Computer seien attackiert worden, sagte eine Ministeriums-Sprecherin am Freitag der Nachrichtenagentur Interfax. Informationen seien dadurch aber nicht verloren gegangen, meldete Interfax unter Berufung auf Insider.

Ausbreitung ohne Klick
Die Hacker nutzten offenbar eine Sicherheitslücke, die vom US-Auslandsgeheimdienst NSA entdeckt worden war – sie wurde in illegal weiterverbreiteten NSA-Dokumenten beschrieben. Laut dem Unternehmen Kaspersky wurden diese Informationen im April von einer Hackergruppe namens «Shadow Brokers» veröffentlicht, die behauptete, die Lücke durch den NSA entdeckt zu haben.

Microsoft hatte im März einen Software-Patch herausgegeben, der den Mechanismus der Weiterverbreitung der Schadsoftware verhindert. Den Experten zufolge wurde der Patch auf vielen Computern aber noch nicht installiert.

Lance Cottrell von der US-Technologiefirma Ntrepid sagte, dass sich dieser Erpresser-Virus von einem Computer zum anderen ausbreiten kann, ohne dass eine E-Mail geöffnet oder ein Link angeklickt wird. (awp/mc/ps)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert