Weltweite Cyber-Attacke Die wichtigsten Fakten zum Erpressungstrojaner

Video «Praktisch niemand zahlt Lösegeld» abspielen

Praktisch niemand zahlt Lösegeld

1:22 min, aus Tagesschau vom 28.6.2017

Was ist passiert? Ein neuer Hackerangriff mit einem Erpresser-Trojaner hat Dutzende staatliche Einrichtungen und Unternehmen lahmgelegt – rund sechs Wochen nach der globalen Cyberattacke mit «WannaCry».

Wer ist vom Hackerangriff besonders betroffen? Die russische IT-Sicherheitsfirma Kaspersky verzeichnete seit der Attacke am Dienstag rund 2000 erfolgreiche Angriffe – die meisten davon in der Ukraine. Aber auch das US-Pharmaunternehmen Merck, die französische Bahn SNCF, der russische Ölkonzern Rosneft und der Lebensmittelkonzern Mondelez wurden Opfer des Angriffs.

Wie hoch ist der Schaden in der Ukraine? Der Virus hat Computersysteme von zahlreichen grossen Firmen und Behörden lahmgelegt. Banken waren besonders betroffen, aber auch die Regierung sowie die Kiewer Metro und der Flughafen. Die effektiven Schäden halten sich allerdings in Grenzen. Einige Banken hatten am Dienstag Probleme bei der Abwicklung des Zahlungsverkehrs und am Flughafen funktionierte nicht alles. Beim AKW Tschernobyl musste ein Messsystem auf Handbetrieb umgeschaltet werden. Aber wirklich schlimme Schäden hat es bisher nicht gegeben.

Warum ausgerechnet die Ukraine? Ukrainische Experten vermuten, dass es auch damit zu tun hat, dass in ihrem Land viele Computersysteme nicht auf dem neusten Stand sind. Private Anwender in der Ukraine verwenden oft illegale Versionen der gängigen Windows-Software. In Firmen und auf Behörden wird die Antiviren-Software nicht genügend aktualisiert. So können die Viren laut den Experten besonders leicht ganze Computersysteme schachmatt setzen.

Die Ukraine macht Russland verantwortlich. Gibt es Beweise dafür? Nein, der ukrainische Geheimdienst setzte den Verdacht in die Welt. Er hat bisher aber keinerlei Beweise für angebliche russische Spuren der Cyberattacke geliefert. «Mir scheint, diese Anschuldigung kam eher aus dem Bauch, als dass sie wohlüberlegt war», sagt Russland-Korrespondent David Nauer. Russland die Schuld zuzuweisen, sei ein Reflex in der Ukraine seit der Annexion der Krim und dem Krieg in der Ostukraine.

Sind auch Schweizer Firmen betroffen? Sieben Schweizer Unternehmen haben einen Angriff gemeldet, wie die Schweizer Melde- und Analysestelle Informationssicherung (Melani) erklärt. Nähere Angaben machte sie keine. Eine der getroffenen Firmen ist die Werbeplattform Admeira, die bereits am Dienstagabend über Twitter bekannt gegeben hat, Opfer der Hacker geworden zu sein. Die Server seien «down» und der E-Mail-Verkehr funktioniere nicht mehr einwandfrei, sagt Admeira-Sprecherin Romi Hofer. «Ganz klar ist uns das Ausmass aber noch nicht.» Die Ausspielung von TV-Werbung bei der SRG und privaten Sendern sei im Moment nicht tangiert und für die nächsten zwei Tage gesichert. Das grösste Risiko sieht Admeira laut Hofer in der Abwicklung von TV-Spots, weil der Trojaner die Buchungsplattform lahmgelegt habe. Die Admeira-Mitarbeitenden dürfen ihre PCs zurzeit nicht anstellen. «Mitarbeitende, die Macs benutzen, sind nicht betroffen», sagt Hofer.

Was fordern die Cyberkriminellen? Die Angreifer verlangen pro freigeschaltete Internetseite 300 Dollar in der Cyberwährung Bitcoin. Das Lösegeld soll auf ein einziges Konto gehen und die zahlenden Opfer sollten sich dabei per E-Mail zu erkennen geben. Mittlerweile gehen Experten aber davon aus, dass die Angreifer eher auf Chaos statt auf Profit aus waren, denn während Erpressungstrojaner – die Computer verschlüsseln und Lösegeld für die Freischaltung verlangen – ein eingespieltes Geschäftsmodell von Online-Kriminellen sind, war die Bezahlfunktion bei der neuen Attacke krude gestaltet. Nachdem der E-Mail-Anbieter Posteo die genannte Adresse aus dem Verkehr gezogen hatte, wurde es für die Betroffenen völlig sinnlos, Lösegeld zu zahlen. Bis Mittwochmorgen gingen denn auch nur 35 Zahlungen auf dem Bitcoin-Konto ein.

Was tun die Behörden? Strafverfolger in verschiedenen Ländern haben Ermittlungen gegen Unbekannt aufgenommen. Wer hinter dem Virus steckt, ist nach wie vor unklar. Die ukrainische Cyberpolizei hat inzwischen zwei Angriffsmethoden identifiziert. Hauptsächlich seien am Dienstagvormittag Computer über die automatische Updatefunktion einer verbreiteten Buchhaltungssoftware manipuliert worden. Anschliessend habe sich das Schadprogramm ähnlich wie «WannaCry» Mitte Mai über eine bekannte Sicherheitslücke in älteren Windows-Systemen in den Netzwerken verbreitet. Darüber hinaus schloss die Polizei auch eine Verbreitung über sogenannte Phishing-Mails mit enthaltenen Download-Links nicht aus.

Um welche Schad-Software handelt es sich? Darüber sind sich die IT-Sicherheitsexperten uneins. Ersten Erkenntnissen zufolge handelte es sich um eine Version der bereits seit vergangenem Jahr bekannten Erpressungs-Software «Petya». Die russische IT-Sicherheitsfirma Kaspersky kam hingegen zum Schluss, es sei eine neue Software, die sich nur als «Petya» tarne.

Was war «WannaCry»? Mitte Mai hatte die «WannaCry»-Attacke hunderttausende Windows-Computer in über 150 Ländern infiziert. Betroffen waren damals insbesondere Privatpersonen – aber auch Unternehmen wie die Deutsche Bahn und Renault.

So funktioniert die Ransomware

So funktioniert die RansomwareBild in Lightbox öffnen.