Die Schadsoftware der aktuellen Trojaner-Attacke zielt Experten zufolge auf Datenvernichtung ab und tarnt sich nur als Erpressungstrojaner. Das Programm lösche die ersten Sektoren auf der Festplatte, statt sie zu verschlüsseln, teilte die IT-Sicherheitsfirma Comae Technologies am Mittwoch nach einer Analyse des Softwarecodes.

Somit verhält sich der Trojaner, von dessen Attacke seit Dienstag zahlreiche Firmen und Institutionen betroffen sind, anders als der letzte wichtige Trojaner WannaCry. Der hatte auf Lösegeld für die Freigabe der Daten gezielt. Auch andere Experten äußerten die Vermutung, dass die Lösegeldforderungen nur vorgeschoben waren, die Software aber primär Chaos stiften sollte.

Bei der aktuellen Schadsoftware war die Bezahlfunktion krude gestaltet: Die Angreifer verlangten 300 Dollar in der Cyberwährung Bitcoin. Das Lösegeld sollte auf ein einziges Konto gehen; die zahlenden Opfer sollten sich per E-Mail zu erkennen geben. Nachdem der E-Mail-Anbieter Posteo die genannte Adresse gelöscht hatte, wurde es für die Betroffenen völlig sinnlos, Lösegeld zu zahlen.

Bis Mittwochnachmittag gingen nur 45 Zahlungen auf dem Bitcoin-Konto ein. Auf dem öffentlich zugänglichen Konto der Erpresser fanden sich 24 Stunden nach Beginn des Angriffs lediglich vier Bitcoins. Das entspricht etwa 8.890 Euro. Auch deshalb glauben Experten, dass die Angreifer eher Chaos anrichten wollten und nicht aus Profitgier handelten.

Nach Einschätzung von Experten war die Schadsoftware jedoch gefährlicher als der aufsehenerregende Erpressungstrojaner WannaCry Mitte Mai. Sie verbreitete sich nicht nur über die damals ausgenutzte Windows-Sicherheitslücke, sondern fand auch einen weiteren Weg, Computer innerhalb eines Netzwerks anzustecken.

Experten sind sich allerdings uneins, mit welcher Software sie es diesmal überhaupt zu tun haben. Nach ersten Erkenntnissen handelt es sich um eine Version der seit 2016 bekannten Erpressungssoftware Petya. Kaspersky kam hingegen zu dem Schluss, es sei eine neue Software, die sich nur als Petya maskiere.

18.000 Infektionen in über 60 Ländern

Firmen weltweit kämpfen mit den Folgen der Cyberattacke. Zu den betroffenen Unternehmen zählen etwa der Nivea-Hersteller Beiersdorf und die dänische Reederei Maersk, bei der Terminals in mehreren Häfen ausfielen. Von dem Angriff betroffen waren auch der größte russische Ölproduzent Rosneft, der US-Pharmakonzern Merck, der Werbegigant WPP, die französische Bahn SNCF und der Lebensmittel-Riese Mondelez. An der Ruine des Atomkraftwerks Tschernobyl musste die Radioaktivität nach dem Ausfall von Windows-Computern manuell gemessen werden. Außerdem wurden Firmen und öffentliche Einrichtungen in der Ukraine getroffen.

Bei Beiersdorf habe es am Dienstag einen Ausfall der IT und der Telefonanlage gegeben, sagte eine Unternehmenssprecherin. Neben der Zentrale in der Hansestadt seien auch weltweit Standorte betroffen. Es sei zu früh, den entstandenen Schaden zu beziffern.

Die IT-Sicherheitsfirma Malwarebytes verzeichnete bis Mittwoch insgesamt etwa 18.000 Infektionen in über 60 Ländern. Die Ukraine blieb der Schwerpunkt der Attacken. Nach Erkenntnissen der ukrainischen Cyberpolizei wurden Computer zunächst über die automatische Updatefunktion einer verbreiteten Buchhaltungssoftware manipuliert. Die Herstellerfirma wies die Vorwürfe zurück, hatte zuvor allerdings selbst vor manipulierten Updates gewarnt.

Der neue Angriff breitete sich langsamer aus als der WannaCry-Trojaner, der binnen eines Tages hunderttausende Computer befiel, nutzt aber zum Teil dieselbe Sicherheitslücke in älterer Windows-Software wie der im Mai für eine globale Attacke genutzte Erpressungstrojaner. Das teilten die IT-Sicherheitsfirma Symantec und das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit.