Tech

WannaCry 2.0? Eine neue Ransomware infiziert gerade Rechner auf der ganzen Welt

In mehreren Ländern beobachten User gerade mit Entsetzen den Ausbruch eines neuen Erpressungstrojaners, der alle Dateien verschlüsselt und dann Lösegeld fordert.
Bild: Shutterstock

In Spanien, Frankreich, der Ukraine, Russland und anderen Ländern tobt gerade eine Ransomware-Seuche, die sich rasant weiterverbreitet.

Unternehmen aus diversen Wirtschaftssektoren melden am Dienstag, dass sie von dem Ausbruch der Ransomware-Attacke direkt betroffen sind. Noch ist nicht klar, ob die Fälle alle miteinander in Verbindung stehen, es scheint jedoch, dass momentan viele Rechner von demselben Malware-Typus infiziert wurden.

Anzeige

Die Angriffe erinnern an die jüngste Wannacry-Epidemie, bei der tausende Computersysteme rund um die Welt betroffen waren. Eine Ransomware machte die Rechner unbrauchbar und betraf sowohl Einzelpersonen als auch Firmen und sogar Anzeigetafeln der deutschen Bahn.

Motherboard liegen verschiedene Berichte über infizierte Rechner vor, die mutmaßliche Opfer des Angriffs über Twitter geteilt haben. Die Echtheit der Berichte konnten wir nicht unabhängig bestätigen. Allerdings berichten auch verschiedene Sicherheitsforscher und Firmen aktuell ebenfalls von der neuerlichen Ransomware-Attacke.

"Momentan beobachten wir mehrere tausend Infektions-Versuche; in dieser Größenordnung ist das vergleichbar mit den ersten Stunden von WannaCry", erklärt uns Costin Raiu, der für Kaspersky Labs als Sicherheitsforscher arbeitet, in einem Online-Chat.

Anhand der auf Twitter geposteten Fotos und von Bildern, die uns Quellen auf Twitter zugespielt haben, lässt sich erkennen, dass viele der vermeintlichen Attacken in Zusammenhang mit einer Malware stehen, die roten Text auf schwarzem Hintergrund anzeigt und ein Lösegeld in Höhe von 300 Dollar in Bitcoin erpressen will.

"Wenn Sie diesen Text lesen, sind Ihre Dateien nicht länger zugänglich, weil sie verschlüsselt wurden", steht in englischer Sprache auf dem Bildschirmfoto, welches uns eine Quelle zugeschickt hat. "Vielleicht sind Sie gerade damit beschäftigt, zu recherchieren, wie Sie Ihre Dateien wiederherstellen können; aber verschwenden Sie Ihre Zeit nicht. Nichts und niemand kann Ihre Dateien ohne unseren Entschlüsselungsdienst zurückholen."

Anzeige

Zuerst glaubte Raiu, dass der Angriff auf einem Ransomware-Typ basierte, der unter dem Namen Petya oder Petrwrap berühmt berüchtigt wurde. Inzwischen ist der Sicherheitsforscher jedoch davon überzeugt, dass es sich hier um einen "ganz neuen" Typ von Erpressersoftware handelt. Kaspersky Lab hat die neue Ransomware daher NotPetya getauft.

Kurz nach dem Angriff gingen Forscher des auf Ransomware spezialisierten MalwareHunterTeams davon aus, dass der aktuelle Angriff auf der ursprünglich von Raiu identifizierten Malware beruht. Wie bei Ransomware-Angriffen üblich, verschlüsselt die am Dienstag beobachtete Schadsoftware die Dateien auf dem Rechner des Opfers und fordert sie zur Zahlung eines Lösegelds auf. Erst nach einer solchen in Bitcoin getätigten Zahlung sollen die Opfer den Zugang zur Entschlüsselung ihrer Dateien bekommen.

Laut eines Tweets des Antivirus-Herstellers Avira nutzen die Petya-Angriffe eine bereits geschlossene Sicherheitslücke mit dem Namen EternalBlue aus. Die Lücke, die aus dem Repertoire der NSA stammen soll, wurde vor einigen Monaten durch die Hacker-Gruppe mit dem Namen The Shadow Brokers geleakt. Motherboard konnte die Angaben von Avira nicht unabhängig bestätigen.

EternalBlue wurde bereits von dem im Mai grassierenden WannaCry-Trojaner ausgenutzt. Zwar wurde die von Eternalblue ausgenutzte Schwachstelle in einem Microsoft-Protokoll inzwischen für alle Windows-Versionen geschlossen; doch wie bei allen Updates ist längst nicht immer garantiert, dass sich alle Kunden die entsprechenden Patches herunterladen.

Anzeige

Dieses von einer Quelle zur Verfügung gestellte Bild soll einen mutmaßlich von der Ransomware angegriffen Rechner zeigen Motherboard.

Die spanische Zeitung El Confidencial berichtete, dass Hacker das Büro der global operierenden Anwaltskanzlei DLA Piper angegriffen hätten. Motherboard hat ein Bild übersendet bekommen, das laut einer mit dem Angriff vertrauten Quelle einen dort infizierten Computers zeigen soll.

Laut der Quelle wurden die Mitarbeiter der Kanzlei gebeten, ihre Arbeitsplätze zu verlassen. Weder das Büro in Madrid noch die Niederlassung in der US-Hauptstadt Washington waren für Rückfragen von Motherboard erreichbar. Der ukrainische Fernsehsender 24tv berichtet, dass die Hacker ein ukrainisches Medienunternehmen angegriffen hätten.

Die Hacker, die die mit der Ransomware-Nachricht verbundene E-Mailadresse kontrollieren, haben bisher nicht auf unsere Anfrage geantwortet.

Die Sicherheitsforscher von Kaspersky resümieren, dass die Ransomware unter anderem Ziele in Russland, der Ukraine, Spanien und Frankreich angegriffen habe. Auf Twitter berichten unterdessen verschiedene Nutzer von Petya-Fällen aus ihren jeweiligen Heimatländern.

Wenn man den Angaben glauben kann, ist dabei jeweils auch ein weites Spektrum Wirtschaftsunternehmen betroffen. Überall auf der Welt berichten gleichzeitig Firmen von Computerausfällen. Chris Sistrunk, der als Sicherheitsforscher für das Unternehmen Mandiant arbeitet, fasst das aktuelle Geschehen so zusammen: Es sehe danach aus, als gäbe es "einen weiteren weltweiten Angriff auf Computer."

Bei dieser Geschichte handelt es sich um eine aktuelle Meldung, die wir fortlaufend aktualisieren werden, sobald es neue Entwicklungen zum Ransomware-Ausbruch gibt.

Update 28.6.: Der Text wurde um einen Kommentar von Kasperksy Lab ergänzt, inwiefern die aktuelle Schadsoftware der Petya-Ransomware nach neuesten Erkenntnissen ähnelt. Zuerst dachten die Sicherheitsforscher, dass es sich um den gleichen Ransomware-Typen handelte, inzwischen gehen sie jedoch davon aus, es mit einer ganz neuen Erpressersoftware zu tun zu haben.