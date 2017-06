Gut sechs Wochen nach der globalen Attacke des Erpressungstrojaners «WannaCry» hat ein Cyber-Angriff Dutzende Unternehmen vor allem in der Ukraine lahmgelegt. Betroffen waren aber unter anderen auch:

Die Schweizer Vermarktungsfirma Admeira

Der russische Ölkonzern Rosneft

Die dänische Reederei Maersk

Das britische Werbeunternehmen WPP

Der französische Industriekonzern Saint-Gobain

Berichten zufolge werden für die Wiederherstellung der Systeme die Zahlung von jeweils 300 Dollar in der Cyberwährung Bitcoin gefordert. Vor allem die Ukraine, Russland, England und Indien sind nach Einschätzung von Schweizer Experten Opfer von Hackerangriffen geworden.

Petya oder NotPetya

In einem Statement per Twitter verkündet der Anti-Viren-Programm-Hersteller Kapersky, dass es sich beim Trojaner wohl nicht um eine Variante der alten Petya Ransomware oder um WannaCry handelt. Es sei eine komplett neue Art von Schadsoftware, weshalb Kapersky sie NotPetia nennt.

Den Unternehmen wird empfohlen, ein Update der Windows-Software zu machen, die Sicherheitslösungen zu prüfen und sowie , dass ein Ransomware-Erkennungsprogramm installiert ist.

Seine Unbekanntheit mache NotPetia zu einem noch schädlicheren Virus als WannaCry, sagen Sicherheitsexperten laut «Forbes». So erklärt etwa der NSA-Analytiker und Cybersecurity Unternehmer David Kennedy, die Ransomware finde Passwörter auf infizierten Computern und könne sie in andere Systeme übertragen.

Admeira Webseite down

Technische Probleme gibt es es derzeit jedoch bei der Schweizer Vermarktungsfirma Admeira. Deren Webseite ist aktuell offline. Admeira bestätigt gegenüber der «Werbewoche», dass es sich bei der Ursache um den Cyberangriff handelt.

Auch @admeira_ch ist vom Cyberangriff betroffen. Wir sind mit Hochdruck daran, die Situation zu analysieren und Massnahmen einzuleiten. — Admeira (@admeira_ch) 27. Juni 2017

Die Schweizer Melde- und Analysestelle Informationssicherung (MELANI) hatte zuvor auf Anfragen der Nachrichtenagenturen sda und Reuters noch erklärt, Schweizer Unternehmen seien gegenwärtig vorliegenden Informationen zufolge nicht betroffen.

Advertising giant WPP's shares are down after a major ransomware attack that's spreading… https://t.co/MsRhUw1hfU pic.twitter.com/4tCMqcK0bz — World News (@WorldBestNews5) 27. Juni 2017

Ukrainische Infrastruktur angegriffen

In der Ukraine hatten zuvor neben dem Staatskonzern Antonov auch weitere Banken, Telekom, Post, ein Stromnetzbetreiber, der Kiewer Flughafen und die Regierung Probleme mit ihren Computer-Netzwerken gemeldet. Auch die Deutsche Post in der Ukraine ist betroffen.

Wegen des Hackerangriffs sei auch das Strahlungsmesssystem im havarierten Atomkraftwerk Tschernobyl offline, berichtet die Nachrichtenagenur AFP. Eine Behördensprecherin sagte, die Mitarbeiter seien nun mit tragbaren Geigerzählern vor Ort im Einsatz.

22 Anzeigen bei der Polizei

Bei der Polizei gingen bis zum Nachmittag 22 Anzeigen ein, darunter auch von mindestens einem Mobilfunk-Anbieter. «Die Cyberpolizei klärt gerade die Ursache der Cyberattacke», erklärte ein Sprecher des Innenministeriums.

Es handle es sich um die bislang schwersten Hackerangriffe in der Geschichte des Landes, erklärten Berater des Innenministeriums in Kiew. Möglicherweise sei eine modifizierte Version des WannaCry-Virus dafür verantwortlich. Die Attacken sollen demnach von Russland aus ausgeführt worden sein. Die Netzwerke dürften in einigen Tagen wieder laufen.

«Massive Attacke»

Der russische Ölkonzern Rosneft sprach bei Twitter von einer «massiven Hacker-Attacke». Die Ölproduktion sei aber nicht betroffen, weil die Computer auf ein Reserve-System umgestellt worden seien. Auch die Tochterfirma Baschneft wurde in Mitleidenschaft gezogen.

Der US-Nahrungsmittelkonzern Mondelez International erklärte, Mitarbeiter in verschiedenen Regionen hätten technische Probleme. Es sei unklar, ob dafür Cyber-Angriffe verantwortlich seien. «Wir untersuchen die Sache», erklärt eine Firmensprecherin.

Auch deutsche Firmen sind betroffen. Welche das sind, teilte das Bundesamt für Sicherheit in der Informationstechnik (BSI) nicht mit. Der NDR hatte zuvor berichtet, offenbar sei auch das Computersystem des Beiersdorf-Konzerns attackiert worden.

Mitte Mai hatte die «WannaCry»-Attacke hunderttausende Computer in mehr als 150 Ländern mit dem Betriebssystem Windows betroffen. Dabei sorgte eine seit Monaten bekannte Sicherheitslücke im veralteten Windows XP für eine schnelle Ausbreitung. Betroffen waren vor allem Privatpersonen aber auch Unternehmen wie die Deutsche Bahn und Renault.

Wie funktioniert Petya?

Eine Untersuchung einer früheren Version von Petya durch die Firma F-Secure hat ergeben, dass Petya anders als andere Ransomware nicht Dateien verschlüsselt, sondern die Indextabelle des Dateisystems. Ohne diese Tabelle weiss der Computer nicht, wo auf der Festplatte welche Teile welcher Dateien abgelegt sind.

Die Ransomware wird installiert, der Computer neu gestartet. Jetzt werden Instruktionen der Erpresser angezeigt. Die Kommunikation mit dem Server läuft über das anonymisierte Netzwerk Tor und die Zahlung wird in Bitcoins verlangt, die ebenfalls fast anonym sind.

«Momentan gehe ich davon aus, dass es sich um die alte Malware von Petya handelt, die nur leicht abgeändert wurde», sagte IT-Spezialist Marc Ruef zu «20 Minuten». Er erwartet noch weitere Nachahmer, die dieselbe Masche nutzen.«Das ist mittlerweile ein regelrechtes Geschäftsfeld.»

