Am Montag verbreitete sich auf einmal rasant ein neuer Trojaner über die Rechner der Welt. Er verschlüsselte Windows-PCs, forderte Lösegeld. Betroffen waren vor allem Firmen und kritische Infrastruktur wie Banken und das Atomkraftwerk Tschernobyl. Jetzt mehren sich die Anzeichen, dass es sich dabei nicht um Zufall handelte – und die Erpressung nur von einem gezielten Angriff ablenken sollte.
Zu diesem Schluss kommen mehrere Viren-Experten, die den Trojaner untersuchten. Ihnen zufolge handelt es sich gar nicht um einen echten Erpressungstrojaner – sondern um einen sogenannten Wiper (etwa: Löscher). Während ersterer die Daten nur als Geisel nimmt und gegen Lösegeld wieder frei gibt, hat letzterer ein ganz anderes Ziel: Es geht um pure Zerstörung. Das erklärt der Viren-Experte Matt Suiche in einem Blog-Post.21-Beunruhigend: Die Welt im Cyber-Krieg?-5442719097001
Zerstörung statt Einnahmen
Dafür spricht nicht nur die dilettantische Umsetzung des vorgeblichen Erpressungsversuches. Die Betroffenen sollten Lösegeld in Form von Bitcoin bezahlen und dann den Transfer an eine E-Mail-Adresse melden. Die wurde einfach abgeschaltet, am Ende waren nur etwa 8000 Euro zusammengekommen. Ginge es den Angreifern nur ums Geld, hätten sie sich wohl mehr Mühe gegeben.
Viel schwerer wiegt die Tatsache, dass der Schädling selbst nie für die Rückgabe der Daten ausgelegt war. Zu diesem Schluss kommen Suiche und auch die Viren-Experten von Kaspersky. Die Verschlüsselung ist nicht umkehrbar, die Daten sind endgültig zerstört. Selbst wenn sich die Verschlüsselung rückgängig machen ließe, könnten die Angreifer die Daten zahlender Opfer nicht retten. Dazu müssten sie die Lösegeldzahlung einem betroffenen Rechner mit einer Identifikationsnummer zuordnen können. Das geht aber nicht – weil der Schädling eine solche Nummer gar nicht erst erstellt. Auch das spricht gegen einen Erpressungsversuch.Vor Erpressungs-Trojanern schützen 19.26h
Wer wollte die Ukraine angreifen?
Vielmehr scheint es sich um gezielte Zerstörung zu handeln – also um einen Angriff. Das Ziel dürfte relativ klar die Ukraine gewesen sein. Hier fand sich ein Großteil der Opfer, mit der Zentralbank, dem Metro-System und jeder Menge Unternehmen wurde auch in die Infrastruktur des Landes getroffen. Die Verbreitungsmethode deutet ebenfalls auf die Ukraine als Ziel: Die Software wurde wohl über ein verseuchtes Update einer ukrainischen Buchhaltungssoftware verbreitet. Alle Opfer aus anderen Ländern dürften Kollateralschaden gewesen sein.
Über den Urheber lässt sich nur spekulieren. Denkbar sind natürlich Geheimdienste anderer Staaten, aber auch private Hacker-Gruppen mit politischem Interesse könnten dahinterstecken. Selbst eine Racheaktion an einer bestimmten Firma ist möglich. Zwischen dem Konflikt mit Russland, den Bürgerkriegs-Parteien und kriminellen Organisationen gibt es eine praktisch unüberschaubare Menge von Akteuren, die von dem Chaos profitieren könnten. Ob die Hintermänner und ihre Motive jemals ermittelt werden können, muss sich zeigen.
Kaspersky hat den Trojaner nun erstmal umbenannt. Der echte „Petya“ geistert schon seit Jahren als Erpressungs-Trojaner durch die Welt. Der neue Schädling hatte sich als Variante ausgegeben. Weil es sich aber eben nicht um Erpressung sondern um einen Angriff handelt, haben ihm die Experten einen neuen Namen gegeben. Der ist zwar wenig kreativ, macht aber klar, was man hier vor sich hat. Er lautet „Notpetya“.