Neue Ransomware-Attacke erschüttert Unternehmen weltweit

Die schwere Ransomware-Attacke durch das Erpresserprogramm Wannacry ist weder verdaut noch vergessen. Rund 200'000 IT-Systeme waren weltweit betroffen, als Wannacry im Mai dieses Jahres wütete.

Und schon erschüttert ein neuer Schrecken die Welt. Wieder nutzt ein Schadprogramm eine Schwachstelle im Windows-Betriebssystem aus. Wieder sind zahlreiche Unternehmen durch eine Ransomware lahmgelegt, wie verschiedene Sicherheitsanbieter mitteilen.

Das Schadprogramm schleust sich dabei auf den Rechner ein und verschlüsselt sämtliche Dateien auf dem Gerät. Der Nutzer sieht nur noch einen Sperrbildschirm, der ihn auffordert, ein Lösegeld zu zahlen. In diesem Fall fordern die Erpresser jeweils 300 US-Dollar von ihren Opfern.

Wie The Register berichtet, könnte die Lösegeldforderung nur eine Fassade sein. Die Ransomware sei nämlich äusserst versiert. Die Prozesse, um an das Geld zu kommen, jedoch nicht. Die gezahlten Geldsummen könnten gar irgendwo versickern. Die aktuellen Angriffe seien wohl eher darauf ausgelegt, möglichst rasch möglichst viel Chaos anzurichten.

Auch Schweizer Unternehmen betroffen

Die meisten Opfer kommen aus Russland oder der Ukraine. Einige globale Firmen sollen jedoch auch angegriffen worden sein, darunter etwa die Containerschiff-Reederei Mærsk Line. Auch die Schweiz ist von dieser jüngsten Angriffswelle betroffen. Admeira gab auf Twitter bekannt, dass sie Opfer der Ransomware wurde.

Das Joint Venture von Ringier, SRG und Swisscom gab wenige Stunden später jedoch auch bekannt, dass die Ausspielung der TV-Werbung für SRG, die Anzeigen für Blick und die Adserver nicht betroffen seien.

Wolle man das Unternehmen kontaktieren, soll man gemäss Twitter die üblichen Adressen verwenden und zusätzlich die folgenden: broadcast.admeira@gmail.com, salesservice.admeira@gmail.com, publishing.admeira@gmail.com.

Laut dem Swiss Government Computer Emergency Response Team (GovCERT) seien in der Schweiz noch mehr Unternehmen betroffen. Wie viele und wer diese sind, schreibt GovCERT nicht.

Petya oder doch nicht Petya?

Was für ein Schadprogramm dahinter steckt, ist noch nicht ganz klar. Die ersten Meldungen verwiesen allesamt auf Petya. Eine Ransomware, die bereits seit 2016 ihr Unwesen treibt und auch als Misha bekannt ist. Die aktuelle Welle soll eine neue Ausführung des bekannten Schadprogramms sein.

Die Sicherheitsexperten von Kaspersky Lab sehen das jedoch anders. Gemäss ihren vorläufigen Untersuchungen handelt es sich dabei nicht um eine modifizierte Version von Petya, sondern um eine gänzlich neue Ransomware. Kaspersy gab der Malware folglich den Namen Notpetya.

Die gleiche Schwachstelle wie Wannacry

GovCERT stimmt dieser Einschätzung wohl zu, da es ebenfalls die Bezeichnung Notpetya verwendet. Die Ransomware weise aber eindeutige Ähnlichkeiten zu Petya auf. Notpetya könne sich jedoch viel effizienter verbreiten.

Hierzu verwende sie die gleiche Schwachstelle, die auch Wannacry nutzte. Diese wurde ursprünglich vom US-amerikanischen Auslandgeheimdienst NSA verwendet und vergangenes Jahr veröffentlicht.

Diese Lücke wird als Eternalblue bezeichnet. Laut der Einschätzung von Govcert sei Notpetya allerdings noch schlimmer als Wannacry, da es sich auch auf regulären Wegen verbreiten könne und nicht nur auf die Eternalblue-Schwachstelle angewiesen sei. Online erklärt Govcert, wie man diesen Infektionsvektor verhindern könne.