Cyber-Attacke: Experten warnen vor neuen Angriffen
Der britische IT-Forscher, der die Ausbreitung des Erpressungstrojaners am Freitag gestoppt hatte, glaubt sogar an eine baldige neue Attacke. “Vielleicht nicht am Wochenende, aber möglicherweise Montagfrüh”, sagte der 22-Jährige, der weiterhin anonym bleiben will, dem Sender BBC. “Da ist viel Geld im Spiel. Es gibt keinen Grund für sie, aufzuhören.” Es sei kein großer technischer Aufwand, den Software-Code zu ändern und eine neue Angriffswelle zu starten.
Nach Angaben der europäischen Polizeibehörde Europol hat der Hackerangriff vom Wochenende mindestens 200.000 Computersysteme in 150 Ländern getroffen. Europol-Chef Rob Wainwright sagte dem Sender ITV am Sonntag, die weltweite Reichweite des Cyberangriffs sei ohne Beispiel. Die Attacke habe eine so starke Wirkung entfalten können, weil die Schadsoftware mit einer “Wurmfunktionalität” gekoppelt gewesen sei, die eine automatische Ausbreitung ausgelöst habe. “Die letzten Zählungen ergeben mindestens 200.000 Opfer, darunter viele Firmen, auch große Firmen”, sagte Wainwright.
Der Europol-Chef warnte vor einer neuen Welle von Attacken zu Beginn des Arbeitsbetriebs am Montag. “Momentan sehen wir uns der Gefahr einer Eskalation gegenüber. Die Zahlen steigen und ich bin besorgt, wie die Zahlen sich weiter steigern werden, wenn die Menschen am Montag wieder an ihre Arbeitsplätze gehen und ihre Computer einschalten”, sagte Wainwright.
Bei der Attacke am Freitag waren nach Erkenntnissen der IT-Sicherheitsfirma Avast rund 75.000 Computer in 99 Ländern lahmgelegt worden, mit einem Schwerpunkt auf Russland, die Ukraine und Taiwan. Die Rechner wurden von sogenannten Erpressungstrojanern befallen, die sie verschlüsseln und Lösegeld verlangen. Der anonyme britische Experte hatte im Code der Schadsoftware eine von den Autoren eingebaute “Notbremse” gefunden, die er auch auslöste und damit die Ausbreitung des Erpressungstrojaners vorerst stoppte.
Die Erpressungssoftware ist durch einen glücklichen Zufall von einem einzelnen 22-jährigen IT-Forscher gestoppt worden. Der Betreiber des Blogs “MalwareTech” fand nach eigenen Angaben einen Web-Domainnamen im Computercode der Schadsoftware und registrierte ihn. Dadurch wurde die Ausbreitung des Lösegeld-Trojaners – auch zu seiner eigenen Überraschung – schlagartig abgebrochen. Denn die Angreifer haben die Domain – aus welchen Gründen auch immer – als eine Art Notbremse in ihre Software eingebaut, erklärten Sicherheitssoftware-Experten anschließend.
Bei jedem Befall eines neuen Computers versuchte die Software zunächst, sich mit der Adresse “iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com” zu verbinden. Solange sie nicht im Netz aktiv war, verschlüsselte das Programm den Rechner. Aber das Programm war darauf programmiert, den Computer in Ruhe zu lassen, wenn sich die Domain zurückmeldete.
Der Sicherheitsforscher von “MalwareTech” selbst räumte ein, dass ihm anfangs nicht bewusst gewesen sei, dass er mit dem Schritt die Attacke abwürgen würde. “Also kann ich zu meinem Lebenslauf hinzufügen: “Habe durch Zufall eine internationale Cyber-Attacke gestoppt”, schrieb er bei Twitter.
Der Experte sei ein “Held durch Zufall”, sagte auch Ryan Kalember von der IT-Sicherheitsfirma Proofpoint der Zeitung “Guardian”. Die Registrierung der Domain kostete ihn demnach 10,69 Dollar (9,78 Euro). Da die Attacke stoppte, während in den USA noch früher Morgen war, blieben dortige Unternehmen und Behörden weitgehend verschont.
