Bern – Die Zahl der von der neuen Cyber-Attacke betroffenen Schweizer Unternehmen steigt: Die Schweizer Melde- und Analysestelle Informationssicherung (MELANI) hat Kenntnis von sieben infizierten Firmen, wie sie am Mittwoch auf Anfrage der Nachrichtenagentur sda mitteilte.
Zu den einzelnen angegriffenen Firmen machte MELANI aus Vertraulichkeitsgründen keine näheren Angaben. Eines der Unternehmen ist die Werbeplattform Admeira – sie gab bereits am Dienstagabend über Twitter bekannt, Opfer der Hacker geworden zu sein. Die Ausspielung von TV-Werbung bei SRG und privaten Sendern sei aber gewährleistet, hiess es. MELANI sei derzeit noch mit der Analyse der Schadsoftware beschäftigt, teilte die Behörde weiter mit. Nähere Angaben zu neuen Entwicklungen konnte sie daher nicht machen.
Weltweite Angriffe
Weltweit kämpfen Firmen derzeit mit den Folgen der Attacke. Darunter ist der grösste russische Ölproduzent Rosneft, der US-Pharmakonzern MSD/Merck, die französische Bahn SNCF, der deutsche Nivea-Hersteller Beiersdorf und der Lebensmittel-Riese Mondelez («Milka», «Oreo»). Die weltgrösste Reederei Moeller Maersk kämpft immer noch mit den Folgen des Angriffs: Bestellungen könnten keine entgegengenommen werden und es sei nicht absehbar, wann sich die Abläufe wieder normalisierten, sagte ein Maersk-Manager.
Besonders hart traf es Unternehmen und Behörden in der Ukraine. An der Ruine des ukrainischen Katastrophen-Atomkraftwerks Tschernobyl musste die Radioaktivität nach dem Ausfall von Windows-Computern manuell gemessen werden. Wichtige technische Systeme der Station funktionierten dort aber normal.
Zwei Angriffsmethoden
Die ukrainische Cyberpolizei identifizierte zwei Angriffsmethoden. Hauptsächlich seien am Dienstagvormittag Computer über die automatische Updatefunktion einer verbreiteten Buchhaltungssoftware manipuliert worden, teilte die Behörde mit. Anschliessend habe sich das Schadprogramm ähnlich wie «WannaCry» Mitte Mai über eine bekannte Sicherheitslücke in älteren Windows-Systemen in den Netzwerken verbreitet.
Die betroffene Buchhaltungssoftware-Firma wies die Vorwürfe zurück, hatte allerdings im Mai selbst vor manipulierten Updates gewarnt. Darüber hinaus schloss die Polizei auch eine Verbreitung über sogenannte Phishing-Mails mit enthaltenen Download-Links nicht aus. Als Vorsichtsmassnahme empfahl sie unter anderem die Abschaltung des betroffenen Protokolls.
Hersteller von Antivirussoftware bestätigten die Ausnutzung der als «EternalBlue» bekannten Sicherheitslücke von Microsoft-Systemen. Auf diese einst vom US-Abhördienst NSA ausgenutzte Schwachstelle griff auch «WannaCry» zurück.
Chaos als Ziel
Experten sehen Hinweise darauf, dass die Angreifer eher Chaos anrichten wollten und nicht auf Profit aus waren. Während Erpressungstrojaner, die Computer verschlüsseln und Lösegeld für die Freischaltung verlangen, ein eingespieltes Geschäftsmodell von Online-Kriminellen sind, war die Bezahlfunktion bei der neuen Attacke äusserst krude gestaltet. Die Angreifer verlangten 300 USD in der Cyberwährung Bitcoin. Das Lösegeld sollte auf ein einziges Konto gehen, die zahlenden Opfer sollten sich per E-Mail zu erkennen geben.
Nachdem der E-Mail-Anbieter Posteo die genannte Adresse aus dem Verkehr zog, wurde es für die Betroffenen völlig sinnlos, Lösegeld zu zahlen. Bis Mittwochmorgen gingen nur 40 Zahlungen auf dem Bitcoin-Konto ein. Neben Europol nahmen auch französische Strafverfolgungsbehörden Ermittlungen gegen Unbekannt auf.
Rund 2000 Angriffe
Die russische IT-Sicherheitsfirma Kaspersky verzeichnete am Dienstag rund 2000 erfolgreiche Angriffe, die meisten davon in Russland und der Ukraine, aber auch in Deutschland, Polen, Italien, Grossbritannien, Frankreich und den USA. Auch die Schweiz, Estland und Lettland verzeichneten Attacken. Der neue Angriff breitete sich langsamer aus als der «WannaCry»-Trojaner, der binnen eines Tages hunderttausende Computer befiel – aber er zog mehr international agierende Unternehmen in Mitleidenschaft.
IT-Sicherheitsexperten waren sich unterdessen uneins, mit welcher Software sie es diesmal überhaupt zu tun haben. Ersten Erkenntnissen zufolge handelte es sich um eine Version der bereits seit vergangenem Jahr bekannten Erpressungs-Software «Petya». Kaspersky kam hingegen zu dem Schluss, es sei keine «Petya»-Variante, sondern eine neue Software, die sich nur als «Petya» tarne. (awp/mc/upd/pg)