Neue Angriffswelle mit Ransomware übertrifft WannaCry-Attacke

Ransomware (Bild: Shutterstock)

Ihr fielen bereits zahlreiche große Unternehmen und Einrichtungen zum Opfer. Das BSI, Europol und Interpol haben Warnungen herausgegeben und Ermittlungen aufgenommen. Uneinigkeit herrscht bei Sicherheitsforschern darüber, um welche Malware es sich exakt handelt.

Die bereits von der Ransomware WannaCry genutzte SMB-Lücke in Windows wird offenbar von einer weiteren, nach wesentlich aggressiver verteilten Malware ausgenutzt. Der neuen Angriffswelle sind seit gestern Abend zahlreiche große Einrichtungen und Firmen betroffen. Zahlreiche Opfer wurden zunächst aus Russland und der Ukraine gemeldet, aber auch Firmen in Deutschland sind betroffen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht in einer Mitteilung von einer “globale Cyber-Angriffswelle mit einer Verschlüsselungssoftware (Ransomware).” Die Angriffswelle weise bezüglich Verbreitungsgrad und -geschwindigkeit Ähnlichkeiten zum Angriff mit “WannaCry” im Mai dieses Jahres auf.

Update 28. Juni 2017, 11 Uhr 25: Inzwischen hat der Sicherheitsforscher Amit Serper offenbar eine Möglichkeit gefunden, die Ausbreitung der Ransomware mit einer Art “Impfung” einzudämmen. Dazu muss lediglich eine bestimmte Datei auf der lokalen Festplatte vorhanden sein.

Zu den Opfern gehören etwa die dänische Unternehmensgruppe Maersk, die Ukrainische Nationalbank, der Flughafen Kiew-Boryspil und die Einrichtung zur Überwachung der Strahlung des Atomkraftwerks Tschernobyl. Das Innenministerium der Ukraine spricht vom größten Hackerangriff in der Geschichte des Landes.

Der russische Mineralölkonzern Rosneft berichtete ebenfalls von einem “massiven Hackerangriff” und laut NDR ist in Deutschland die Hamburger Konzernzentrale des Beiersdorf-Konzerns betroffen. Auch der Pharmakonzern Merck räumte einen erfolgreichen Angriff ein und machte dafür den “globalen Hackerangriff” verantwortlich.

Bei der aktuellen Ransomware-Attacke wird zunächst eine bösartige Datei ausgeführt. Die legt eine neue Aufgabe an, mit der die infizierte Maschine wie hier gezeugt in einer Stunde neu gestartet wird. Während der Nutzer auf den Neustart wartet, durchsucht die Malware das Netzwerk nach weiteren, potenziell zu infizierenden Systemen (Screenshot: F-Secure)
Bei der aktuellen Ransomware-Attacke wird zunächst eine bösartige Datei ausgeführt. Die legt eine neue Aufgabe an, mit der die infizierte Maschine wie hier gezeugt in einer Stunde neu gestartet wird. Während der Nutzer auf den Neustart wartet, durchsucht die Malware das Netzwerk nach weiteren, potenziell zu infizierenden Systemen (Screenshot: F-Secure)

Die zuständigen Abteilungen von Europol und Interpol haben bereits Ermittlungen aufgenommen. Rob Wainwright, Executive Director von Europol, spricht von einem “weiteren großen Ransomware-Angriff auf Unternehmen in Europa”.

Sicherheitsforscher noch uneins über Natur der Malware

Der Sicherheitsanbieter Bitdefender führt die massive Ransomware-Kampagne auf eine Variante der Ransomware GoldenEye zurück, vor der die Polizei in Deutschland bereits im Dezember gewarnt hatte. Mit ihr waren damals gezielt Personalabteilungen angegriffen worden, die Malware wurde über Excel-Tabellen mit Makros eingeschleust.

Laut Bitdefender gehört die Schadsoftware zu der schon älteren Malware-Familie Petya. Deren Verschlüsselung wurde schon vor einem Jahr geknackt. Sie sei nun jedoch offenbar modifiziert und nutze eine zweischichtige Verschlüsselung:. Eine Schicht verschlüsselt die Zieldateien auf dem Computer, die andere die NTFS-Strukturen. “Dieser Ansatz verhindert, dass Opfer ihre Computer in einer Live-Betriebssystemumgebung booten und gespeicherte Informationen oder Samples zurückgewinnen können”, so Bitdefender. Die Ransomware lasse den Computer nach Abschluss der Verschlüsselung zudem abstürzen. Der dadurch ausgelöste Neustart mache den Computer dann unbrauchbar.

Auf Basis von rund 12.000 geblockten Angriffen kommt Avast zu der Erkenntnis, dass auch bei den aktuellen Angriffen mit der Ransomware Petya Rechner mit Windows 7 im Mittelpunkt stehen (Grafik: Avast)
Auf Basis von rund 12.000 geblockten Angriffen kommt Avast zu der Erkenntnis, dass auch bei den aktuellen Ransomware-Angriffen Rechner mit Windows 7 im Mittelpunkt stehen (Grafik: Avast)

F-Secure stimmt im Wesentlichen mit Bitdefender überein. Bei der WannaCry-Attacke fand ein Sicherheitsexperte einen Fehler und konnte so den Angriff stoppen. F-Secure Security Advisor Sean Sullivan wenig Hoffnung, dass das diesmal ähnlich sein könnte: “Die WannaCry-Angreifer scheiterten, weil sie auf ihren Erfolg nicht vorbereitet waren. Allerdings fühlt sich diese Petya-Kampagne anders an. Sie ist erst in der ersten Runde, wirkt deutlich professioneller und die Hintermänner sind bereit, abzukassieren. Mit dieser Attacke ist die Zeit für Anfänger definitiv vorbei.”

Auch G-Data sieht eine verbesserte Petya-Version als Ursache der Ransomware-Infektionen. Sie basiere wie die Ransomware WannaCry auf dem Exploit von EternalBlue, mit dem eine Schwachstelle im SMB-Protokoll ausgenutzt wird. Da die Windows-Protokolle gelöscht werden lasse sich beispielsweise das Windows Diagnosetool nicht mehr verwenden.

Mehr zum Thema

Wie man gefährliche E-Mails identifiziert

Gefälschte E-Mails enthalten häufig Viren oder andere Angreifer. Oft sollen auch private und sensible Daten gestohlen werden. Anhand weniger Kriterien lassen sich gefährliche E-Mails jedoch schnell erkennen.

Avast hat ebenfalls eien Variante der Malware Petya als Ursache ausgemacht, die sich mittels des Exploits EternalBlue ausbreite. Der Anbieter stimmt mit G-Data darin überein, dass es sich um eine modifizierte Variante handelt. Die habe er erstmals bereits vor ein paar Monaten bemerkt und PetrWrap genannt. Der Anbieter hat mit seiner Software gestern 12.000 Angriffsversuche entdeckt und geblockt. Ihm zufolge richteten sich 78 Prozent dieser Angriffe gegen Rechner mit Windows 7, weitere 14 Prozent gegen Rechner mit Windows XP.

Der Anbieter rät dringend, alle verfügbaren Updates von Windows einzuspielen. Das ist auch Eset zufolge angeraten, macht der Anbieter ebenfalls den EternalBlue als Einfallstore für die Malware verantwortlich. Wie sich das schließen lässt, hatte Microsoft bereits im März im Sicherheitsbulletin MS17-010 erklärt. Den hatte das Unternehmen als “kritisch” eingestuft. Die nun betroffenen Unternehmen haben das aber offenbar anders gesehen und auf das Einspielen des Patches verzichtet.

Kaspersky stuft die Ransomware dagegen als eigenständige, neu Malware ein, die das Unternehmen folglich “NotPetya” nennt. Kasperskys eigene Daten deuten demnach auf 2000 betroffene Nutzer hin, unter anderem auch in Deutschland, Frankreich, Italien und Polen.




F-Secure hat bei YouTube ein Video veröffentlicht, in dem der Ablauf einer Infektion mit der aktuell kursierenden Ransomware gezeigt wird.

[mit Material von Stefan Beiersmann, ZDNet.de]