28.06.2017 Nächste Ransomware-Welle

Petya greift an

Neue Angriffswelle mit einem Verschlüsselungstrojaner: Zunächst waren Russland und die Ukraine betroffen, nun hat sich der Erpressungstrojaner Petya weltweit verbreitet.

Die Angriffswelle weist bezüglich Verbreitungsgrad und -geschwindigkeit Ähnlichkeiten zum Cyber-Sicherheitsvorfall "WannaCry" im Mai dieses Jahres auf. Betroffen sind weltweit Unternehmen und Institutionen, nach BSI-Erkenntnissen sind auch deutsche Unternehmen betroffen; laut NDR der deutsche Beiersdorf-Konzern in Hamburg.

Angeblich sind auch der Container-Riese Maersk sowie der Hafen in Rotterdam mit der Ransomware infiziert. Am schlimmsten trifft es bisher wohl die Ukraine: Der Flugzeugbauer Antonov meldet einen IT-Angriff und auch Banken, der staatliche Stromnetzbetreiber, der Kiewer Flughafen und weitere Unternehmen des Landes bestätigen Attacken. Das Netzwerk der Regierung sei abgeschaltet worden, heißt es. An der Ruine des Atomkraftwerks Tschernobyl werde die Radioaktivität nach dem Ausfall der Computer manuell gemessen.

IT-Sicherheitsanbieter Forcepoint beschreibt den Ablauf so:
Nach dem Ausführen der Datei nutzt diese eine Schwachstelle im SMBv1 Protokoll (wie auch schon WanaCry), rebootet den Rechner und zeigt einen "gefakten" Checkdisk Screen mit der Lösegeldforderung. Die geforderte Summe beträgt 300 US-Dollar, die über BitCoin beglichen werden sollen.  Zwischen dem Ausführen der Datei und dem Beginn des Verschlüsselungsprozesses gibt es eine Verzögerung von 90 Minuten. Scheinbar gibt es nur ein BitCoin Wallet, auf das die erpressten Beträge eingehen sollen. Die Support-E-Mail-Adresse aus der Lösegeldforderung ist mittlerweile deaktiviert. Insofern erscheint eine Lösegeldzahlung sinnlos.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ruft deutsche Unternehmen und Institutionen in Deutschland auf, IT-Sicherheitsvorfälle beim BSI zu melden. Betroffene Unternehmen sollten nicht auf Lösegeldforderungen eingehen.

Auf betroffenen Computern werden die Nutzer erpresst, umgerechnet 300 US-Dollar zu überweisen und eine ID und die Nummer des Bitcoin-Wallet an eine E-Mail-Adresse von Posteo zu schicken. Posteo ist ein Berliner E-Mail-Anbieter, der komplett anonyme E-Mail-Adressen ermöglicht; die beim aktuellen Petya-Angriff genutzte Mailadresse sei mittlerweile gesperrt, so das Unternehmen.

Bildquelle: Thinkstock / iStock

 

 

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH