Verbreitung durch Zufall von einem IT-Experten vorerst gestoppt

Jene Ransomware, die in England und Spanien tausende Rechner infiziert hatte, hat sich auch auf weitere Länder ausgebreitet. So ist der letzte Stand, dass zehntausende Computer von Unternehmen, Behörden und Verbrauchern in fast 100 Ländern befallen wurden. Die Zahl stammt von der Antiviren-Firma Avast, die von mittlerweile 75.000 Fällen spricht. Kaspersky ist zuvor noch von 45.000 Angriffen in 74 Ländern ausgegangen.

Auch Deutschland betroffen

Ob auch Rechner in Österreich betroffen sind, ist bisher nicht erwiesen. Zumindest in Deutschland gab es etliche Nutzer, die auf Twitter berichteten, dass Anzeigetafeln der Deutschen Bahn den typischen Screen der Ransomware zeigten. Dies wurde von dem Unternehmen auch bestätigt, allerdings kam es zu keiner Einschränkung des Bahnverkehrs. Die Deutsche Bahn will an den Bahnhöfen zusätzliche Mitarbeiter einsetzen, um den Wegfall der Anzeigetafeln zu kompensieren.

From what I can gather the NHS ransomware is WannaCrypt (wcry) spreading using P2P exploitation of SMB with leaked NSA exploit. — MalwareTech (@MalwareTechBlog) May 12, 2017 Wie die Schadsoftware sich verbreitete.

Banken, Lieferdienste und Telekom

In den USA erwischte es den Lieferdienst FedEx, der sich bei den Kunden für Ausfälle entschuldigte. In Portugal rief der Telekom-Konzern Portugal Telecom (PT) Mitarbeiter dazu auf, alle Windows-Rechner herunterzufahren. Auch Banken sind von dem Hack betroffen, Kunden der portugiesischen Bank Millennium BCP konnten am Freitag nicht auf ihre Online-Konten zugreifen. Mittlerweile ist dies aber wieder möglich.

Whoops. Foto vom Kollegen bekommen - Chemnitz Hauptbahnhof hat wohl ein Cryptolocker Problem. pic.twitter.com/IH5B5dyKvM — Nick Lange (@Nick_Lange_) May 12, 2017 Einige Anzeigetafeln der Deutschen Bahn sind von der Ransomware betroffen.

IT-Experte stoppte Verbreitung vorerst

Dass die weitere Verbreitung der Ransomware gestoppt wurde, ist wohl auf einen IT-Experten zurückzuführen, der einen "Notschalter" für die Schadsoftware entdeckt hatte. Auf Twitter teilte er mit, dass die Registrierung eines von dem Trojaner genutzten Domain-Namens dazu geführt hatte, dass die Verbreitung zumindest vorläufig beendet wurde. Allerdings warnt er auch, dass dies nur ein kurzzeitiges Aufatmen sei und Windows-Nutzer dringendst ein Update durchführen sollten.

So I can only add"accidentally stopped an international cyber attack" to my Résumé. ^^ — MalwareTech (@MalwareTechBlog) May 13, 2017 Wie die Cyberattacke gestoppt wurde.

NSA nutzte Schwachstelle zuvor aus

Die Ransomware mit dem Namen "Wanna Decryptor" oder "Wanna Cry" ist auf die US-Behörde NSA zurückzuführen, die einst eine entsprechende Sicherheitslücke ausnutzten. Dokumente dazu wurden von dem Hacker-Kollektiv "Shadow Brokers" veröffentlicht. Microsoft reagierte und stopfte die Schwachstelle mit einem Windows-Update. Offenbar wurde dies aber von etlichen Unternehmen, Behörden und Nutzern noch nicht installiert, weshalb die Rechner angreifbar waren. (dk, 13.05.2017)