Großunternehmen im Fokus? Neue Ransomware aufgetaucht

Die Ransomware WannaCry sorgte zuletzt für internationales Aufsehen. Nun kursieren Nachrichten von neuen Ransomeware-Angriffen auf Großunternehmen. Im Fokus der Angreifer könnten auch kleine und mittlere Unternehmen stehen. 

Nachdem bereits die WannaCry Angriffe zu etlichen Ausfällen und hohen Schäden geführt haben, scheint sich nun eine neue Ransomware ihren Weg zu bahnen. Ausgehend von der Ukraine verbreitet sich seit einigen Tagen ein ähnlicher Virus, der womöglich eine Version von Petya ist – eine seit 2016 bekannte Erpressungs-Software.

Some of our gov agencies, private firms were hit by a virus. No need to panic, we’re putting utmost efforts to tackle the issue 👌 pic.twitter.com/RsDnwZD5Oj

— Ukraine / Україна (@Ukraine) 27. Juni 2017

So verbreitet sich Petya

Anders als andere Crypto-Trojaner verschlüsselt Petya nicht einzelne Dateien, sondern hat es auf das gesamte Dateisystem abgesehen. Der Virus greift den MBR (master boot record) an, das für das Laden des Betriebssystems nach dem Computerstart verantwortlich ist.

„Zur Verbreitung scheint sie eine Kombination aus einem SMB Exploit (EternalBlue), wie er auch bei WannaCry zum Einsatz kam, zu verwenden. So verschafft sie sich Zugriff auf das Netzwerk, wo sie sich durch PsExec weiter verbreitet“, erklärt ESET Forscher Robert Lipovsky.

Diese gefährliche Kombination kann die Ursache dafür sein, warum der Ransomware-Ausbruch so schnell und global erfolgt. Es braucht nur einen ungepatchten PC, um in ein Netzwerk zu gelangen. Mit Administratorrechten verbreitet sich die Ransomware dann auf alle anderen Computer im Netzwerk.

Immer mehr Unternehmen betroffen

Ein Tweet des Journalisten Christian Borys behauptet, dass der Cyberattack „angeblich“ gegen Banken, Stromnetze und Postfirmen geht. Auch die Regierung sei Opfer des Angriffs geworden.

Die ukrainische Nationalbank informiert die Besucher ihrer Webseite über Ransomware-Attacken auf andere Banken. Es heißt: „Derzeit hat der Finanzsektor die Sicherheitsmaßnahmen verstärkt, um den Hackerangriffen auf viele Finanzmarktteilnehmer entgegenzustehen.

Reuters bestätigt unterdessen einen Sicherheitsvorfall bei Ukrenergo, einem ukrainischen Energielieferanten. Ein Sprecher erklärte, dass es „keine Auswirkungen auf die Stromversorgung gibt“. Allerdings ist es noch zu früh, um das zu beurteilen.

Virus breitet sich aus

Es scheint so, als ob die neue Ransomware-Attacke nicht nur die Ukraine betrifft. Der Independent titelt, dass auch Spanien und Indien betroffen sein sollen, sowie das dänische Schifffahrtsunternehmen Maersk und die britische Werbefirma WPP.

Auf der Homepage der britischen Werbefirma ist folgende Nachricht zu lesen: „Die WPP Webseite ist durch wichtige routinemäßige Wartungsarbeiten nicht zu erreichen.“ Experten gehen davon aus, dass auch deutsche Unternehmen von dem Angriff betroffen sein könnten.

#Petya: Hackerangriffe als Todesstoß für kleine Unternehmen https://t.co/SOVtnzyHw7 @patronusIO im Interview pic.twitter.com/FvcJCghqZ5

— IT-MITTELSTAND (@ITMredaktion) 28. Juni 2017

WPP hat über Twitter bestätigt, dass sie Opfer eines Cyber-Angriffs geworden sind: „Unsere IT-Systeme in mehreren WPP-Unternehmen wurden von einer vermutlichen Cyberattack heimgesucht. Wir unternehmen entsprechende Maßnahmen und werden so schnell wie möglich wieder verfügbar sein.“

Ob und wie weit sich der Trojaner noch verbreiten wird bleibt abzuwarten. Sicher ist, dass auch dieser neue Angriff für viele Unternehmen zur Falle wird.

Dieser Artikel basiert auf einem Beitrag der ESET, Juni 2017.

Quelle Titelbild: iStock / monsitj