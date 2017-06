Gut sechs Wochen nach der globalen Attacke des Erpressungstrojaners «WannaCry» hat ein Cyber-Angriff Dutzende Unternehmen vor allem in der Ukraine lahmgelegt. Betroffen waren aber unter anderen auch der russische Ölkonzern Rosneft und die dänische Reederei Maersk.

Ersten Erkenntnissen zufolge handelte es sich um eine Version der bereits seit vergangenem Jahr bekannten Erpressungs-Software «Petya», der Computer verschlüsselt und Lösegeld verlangt. Vor allem die Ukraine, Russland, England und Indien sind nach Einschätzung von Schweizer Experten Opfer von Hackerangriffen geworden.

Schweizer Unternehmen seien gegenwärtig vorliegenden Informationen zufolge nicht betroffen, erklärte die Schweizer Melde- und Analysestelle Informationssicherung (MELANI) am Dienstag auf Anfragen der Nachrichtenagenturen Reuters und sda. Es gebe Hinweise, dass das Schadprogramm «Petya» erneut im Umlauf sei. Bereits im Mai hatten Angriffe mit der möglicherweise ähnliche Lücken nutzenden Schadsoftware «Wanna Cry» unter anderem in britischen Spitälern und Arztpraxen zu massiven Behinderungen geführt.

Technische Probleme scheint es derzeit bei der Schweizer Vermarktungsfirma Admeira zu geben. Deren Webseite ist aktuell offline – unbestätigten Informationen zufolge soll der Hackerangriff der Grund sein. Auch Mitarbeiter von Mondelez Europe GmbH mit Sitz im Glattpark bei Opfikon ZH sind mit technischen Problemen konfrontiert, wie Reuters schreibt. Das Unternehmen analysiert derzeit die Ursache.

Die ukrainische Zentralbank warnte am Dienstag in Kiew vor einer Attacke mit einem «unbekannten Virus». Eine Firma teilte mit, der Virus heisse «Petya.A». Berichten zufolge fordern die Erpresser für die Wiederherstellung der Systeme die Zahlung von jeweils 300 Dollar in der Cyberwährung Bitcoin. Berichtet wurde aber auch von einer «WannaCry»-Variante.

Ukrainische Infrastruktur angegriffen

In der Ukraine hatten zuvor neben dem Staatskonzern Antonov auch weitere Banken, Telekom, Post, ein Stromnetzbetreiber, der Kiewer Flughafen und die Regierung Probleme mit ihren Computer-Netzwerken gemeldet. Auch die Deutsche Post in der Ukraine ist betroffen.

Bei der Polizei gingen bis zum Nachmittag 22 Anzeigen ein, darunter auch von mindestens einem Mobilfunk-Anbieter. «Die Cyberpolizei klärt gerade die Ursache der Cyberattacke», erklärte ein Sprecher des Innenministeriums.

Es handle es sich um die bislang schwersten Hackerangriffe in der Geschichte des Landes, erklärten Berater des Innenministeriums in Kiew. Möglicherweise sei eine modifizierte Version des WannaCry-Virus dafür verantwortlich. Die Attacken sollen demnach von Russland aus ausgeführt worden sein. Die Netzwerke dürften in einigen Tagen wieder laufen.

«Massive Attacke»

Der russische Ölkonzern Rosneft sprach bei Twitter von einer «massiven Hacker-Attacke». Die Ölproduktion sei aber nicht betroffen, weil die Computer auf ein Reserve-System umgestellt worden seien. Auch die Tochterfirma Baschneft wurde in Mitleidenschaft gezogen.

Der US-Nahrungsmittelkonzern Mondelez International erklärte, Mitarbeiter in verschiedenen Regionen hätten technische Problem. Es sei unklar, ob dafür Cyber-Angriffe verantwortlich seien. «Wir untersuchen die Sache», erklärt eine Firmensprecherin.

Die Cyber-Attacke weitete sich derweil auf Westeuropa aus. Das dänische Logistikdienstleister Maersk, das britische Werbeunternehmen WPP und der französische Industriekonzern Saint-Gobain bestätigten am Dienstag, von Hackerangriffen betroffen zu sein. Zum Schutz ihrer Computersysteme seien Massnahmen ergriffen worden, um einen Datenverlust zu verhindern.

Mitte Mai hatte die «WannaCry»-Attacke hunderttausende Computer in mehr als 150 Ländern mit dem Betriebssystem Windows betroffen. Dabei sorgte eine seit Monaten bekannte Sicherheitslücke im veralteten Windows XP für eine schnelle Ausbreitung. Betroffen waren vor allem Privatpersonen aber auch Unternehmen wie die Deutsche Bahn und Renault.

Wie funktioniert Petya?

Eine Untersuchung einer früheren Version von Petya durch die Firma F-Secure hat ergeben, dass Petya anders als andere Ransomware nicht Dateien verschlüsselt, sondern die Indextabelle des Dateisystems.

Ohne diese Tabelle weiss der Computer nicht, wo auf der Festplatte welche Teile welcher Dateien abgelegt sind. Dann installiert sich die Ransomware in den Master Boot Record (MBR) und startet den Computer neu. Jetzt wird der schädliche Code im MBR gestartet und zeigt die Instruktionen der Erpresser an. Die Kommunikation mit dem Server läuft über das anonymisierte Netzwerk Tor und die Zahlung wird in Bitcoins verlangt, die ebenfalls fast anonym sind.

Den Master Boot Record wieder herzustellen – zum Beispiel mit einer Windows CD oder ähnlichem – bringt wenig, da die Indextabelle des Dateisystems weiterhin verschlüsselt ist. Die einzige Art, die Daten ohne Hilfe des Servers wieder herzustellen, sei, den Schlüssel während der Infektion im Binärcode selbst abzufangen. Für normale Benutzer ist das fast unmöglich.

