War «Wanna Cry» nur Ablenkung? Experten: Nächste Cyber-Attacke läuft längst

Die Aufregung um den Cyber-Angriff «Wanna Cry» ist noch nicht abgeklungen, da finden Experten schon die nächsten digitalen Waffen. Auch diese nutzen ein Werkzeug, das Hacker aus den Beständen der US-Spionagebehörde NSA entwendet haben.

Berlin (dpa) – Der Cyber-Angriff mit der Erpressungssoftware «Wanna Cry» könnte nach Einschätzung von IT-Spezialisten ein Ablenkungsmanöver von Kriminellen sein. Experten der Firma «Proofpoint» haben nach eigenen Angaben eine neue Angriffsart entdeckt, die mit «Wanna Cry» in Verbindung stehen soll. «Und auch diese nutzt die von der NSA gesammelten und dann gestohlenen Sicherheitslücken aus», sagt Proofpoint-Managerin Monika Schaufler.

Zwei Mitarbeiter des Unternehmens hatten gemeinsam mit dem britischen IT-Forscher Marcus Hutchins mit Hilfe eines Tricks die Verbreitung von «Wanna Cry» am Wochenende vorerst gestoppt. Der neue Angriff «Adylkuzz» verfolge jedoch ein ganz anderes Ziel und arbeite im Verborgenen, teilten die Forscher mit. Auf den infizierten Rechnern werde im Hintergrund das virtuelle Geld «Monero» erzeugt. «Das ist für die Betrüger weitaus profitabler als ein Erpresserangriff wie etwa «Wanna Cry»», sagt Schaufler. Die sogenannte Kryptowährung funktioniert ähnlich wie Bitcoin und werde auf Marktplätzen im Darknet, einem anonymen Teil des Internets, für den Handel mit Drogen, Kreditkarten oder gefälschten Waren genutzt.

Systeme werden langsamer 
Die Nutzer der gekaperten Rechner merken lediglich, dass ihre Systeme sehr langsam werden, sagt Schaufler. «Wir vermuten, dass «Wanna Cry» mehr oder weniger versehentlich von diesem subtileren Angriff abgelenkt hat», so Schaufler. Die Forscher schätzen, dass auch «Adylkuzz» selbst die Aktivitäten von «Wanna Cry» ausgebremst hat, da die Schadsoftware Schnittstellen – zum Beispiel Port 445 – für die Vernetzung blockiert, um vollen Zugriff zur Rechenpower zu behalten und weitere Infektionen zu verhindern.

Der Angriff mit «Adylkuzz» begann den Angaben zufolge spätestens am 2. Mai. Aktuell sollen Zehntausende Computer weltweit infiziert sein. Einen Schutz gebe es nur, wenn die Windows-Rechner mit den aktuellen Sicherheits-Updates von Microsoft auf dem aktuellen Stand sind.

Lücken in älterer Windows-Software werden genutzt 
Die «Financial Times» berichtete zudem gestern, dass eine weitere Cyber-Waffe im Darknet aufgetaucht sei, die ursprünglich ebenfalls von der US-Spionagebehörde NSA stammt. Dabei handelt es sich dem Bericht zufolge um eine Software, die auf dem Hacker-Werkzeug «Esteem Audit» basiert. Wie «Wanna Cry» nutzt sie eine Lücke in älteren Versionen von Microsofts Betriebssystem Windows aus. Demnach zielt der Schadcode auf die Authentifizierungs-Funktion über Smart Cards.

Symbolfoto: Karl-Josef Hildenbrand / dpa

17.05.2017  wel