Die Ausbreitung einer weltweiten Cyber-Attacke mit Erpressungssoftware auf 75.000 Computer wurde in der Nacht auf Samstag von einem IT-Experten gestoppt.
Eine weltweite Welle von Cyber-Attacken hat am Freitag zehntausende Computer von Unternehmen, Behörden und Verbrauchern getroffen. In Deutschland erwischte die Deutsche Bahn. In Großbritannien wurden Krankenhäuser lahmgelegt, in Spanien war der Telekom-Konzern Telefonica betroffen und in den USA den Versanddienst FedEx.
Die Computer wurden von sogenannten Erpressungstrojanern befallen, die sie verschlüsseln und Lösegeld verlangen. Dabei wurde Experten zufolge eine Sicherheitslücke ausgenutzt, die ursprünglich vom US-Abhördienst NSA entdeckt worden war, aber vor einigen Monaten von Hackern öffentlich gemacht wurde. Die IT-Sicherheitsfirma Avast entdeckte rund 75.000 betroffene Computer in 99 Ländern.
Nach Einschätzung der europäischen Ermittlungsbehörde Europol habe die Attacke ein bisher "beispielloses Ausmaß". Es seien komplexe internationale Ermittlungen nötig, um die Hintermänner zu finden, erklärte Europol am Samstag.
Betreiber von "MalwareTech" fand Web-Domainnamen
Die Attacke wurde laut Experten in der Nacht zum Samstag von einem IT-Forscher gestoppt. Der Betreiber des Blogs "MalwareTech" fand nach eigenen Angaben einen Web-Domainnamen im Computercode der Schadsoftware und registrierte ihn.
Offensichtlich sei die Domain von den Angreifern als eine Art Notbremse für ihre Software gedacht gewesen, erklärte Ryan Kalember von der IT-Sicherheitsfirma Proofpoint der Zeitung "Guardian" am Samstag. Die Registrierung durch "MalwareTech" dämmte die Attacke ein, auch wenn sich damit für bereits befallene Rechner nichts änderte.
Auch die IT-Sicherheitsfirma Malwarebytes stellte fest, dass mit der Anmeldung der Domain die Ausbreitung des Erpressungstrojaners gestoppt wurde. Der Sicherheitsforscher von "MalwareTech" selbst räumte ein, dass ihm anfangs nicht bewusst gewesen sei, dass er mit dem Schritt die Attacke abwürgen würde. Er sei ein "Held durch Zufall", erklärte auch Kalember von Proofpoint.
Keine Schäden in Österreich
In Österreich sind vorerst keine Schäden gemeldet worden. "Wir haben derzeit keine Hinweise erhalten", sagte Vincenz Kriegs-Au, Pressesprecher des Bundeskriminalamts (BK), am Samstag.
Russische Behörden und Firmen haben nach eigenen Angaben die Cyber-Attacke auf ihre Computersysteme größtenteils abwehren können. Das Gesundheitsministerium teilte in der Nacht auf Samstag mit, der Angriff sei verhindert worden, Sicherheitslücken im System seien geschlossen worden.
Attacken gab es nach Angaben der Agentur Tass auch auf das Zivilschutzministerium und das Staatliche Ermittlungskomitee. Im russischen Innenministerium mussten nach Angaben einer Sprecherin aber etwa 1.000 Geräte isoliert werden, die sich mit der Schadsoftware infiziert hatten. Daten seien nicht abgeflossen, sagte Sprecherin Irina Wolk.
(Ag./Red.)
