Ein weltweiter Cyberangriff hat bei Sicherheitsexperten Alarm ausgelöst. Nach ihren Angaben wurde dabei eine Ransomware eingesetzt, ein Erpresservirus, das Computerdaten verschlüsselt, die danach nur gegen Zahlung einer Gebühr entschlüsselt werden können.

Costin Raiu von der IT-Sicherheitsfirma Kaspersky spricht von mindestens 45.000 Hackerattacken in 74 Ländern weltweit. Laut Jakub Kroustek vom Sicherheitsunternehmen Avast lag der Schwerpunkt der Angriffe gestern am späten Abend in den Ländern Russland, Ukraine und Taiwan.

Das gesamte Ausmaß des Angriffs war zunächst unklar. Den Experten zufolge breitet sich das Schadprogramm rasant aus. Nach Angaben von Forcepoint Security Labs wird die Schadstoffsoftware von fast fünf Millionen E-Mails pro Stunde weiterverbreitet.

Von NSA entdeckte Sicherheitslücke

Die Hacker nutzten eine Sicherheitslücke, die offenbar vom US-Auslandsgeheimdienst NSA entdeckt worden war – sie wurde in illegal weiterverbreiteten NSA-Dokumenten beschrieben. Laut Kaspersky wurden diese Informationen im April von einer Hackergruppe namens „Shadow Brokers“ veröffentlicht, die behauptete, die Lücke durch die NSA entdeckt zu haben.

Microsoft hatte im März einen Software-Patch herausgegeben, der den Mechanismus der Weiterverbreitung der Schadsoftware verhindert. Den Experten zufolge wurde der Patch aber auf vielen Computern noch nicht aufgespielt.

Britische Krankenhäuser betroffen

Von dem Angriff waren zahlreiche Krankenhäuser in Großbritannien sowie der spanische Telekomriese Telefonica betroffen. Auch wurden Computer des russischen Innenministeriums und der Deutschen Bahn angegriffen. Laut Forcepoint Security Lab sind auch Einrichtungen in Australien, Belgien, Frankreich, Deutschland, Italien und Mexiko betroffen.

Experten: IT-Forscher stoppte Ausbreitung von Erpressungssoftware

Die weltweite Cyberattacke wurde laut Experten in der Nacht auf heute von einem IT-Forscher gestoppt. Der Betreiber des Blogs MalwareTech fand nach eigenen Angaben einen Webdomainnamen im Computercode der Schadsoftware und registrierte ihn.

Offensichtlich sei die Domain von den Angreifern als eine Art Notbremse für ihre Software gedacht gewesen, erklärte Ryan Kalember von der IT-Sicherheitsfirma Proofpoint der Zeitung „Guardian“ heute. Die Registrierung durch MalwareTech dämmte die Attacke ein, auch wenn sich damit für bereits befallene Rechner nichts änderte.

Auch die IT-Sicherheitsfirma Malwarebytes stellte fest, dass mit der Anmeldung der Domain die Ausbreitung des Erpressungstrojaners gestoppt wurde. Der Sicherheitsforscher von MalwareTech selbst räumte ein, dass ihm anfangs nicht bewusst gewesen sei, dass er mit dem Schritt die Attacke abwürgen würde. Er sei ein „Held durch Zufall“, erklärte auch Kalember von Proofpoint.

von

Günter Schwarz – 13.05.2017