Technik

Neuer Angriff mit "Adylkuzz" War "WannaCry" nur eine Ablenkung?

20927e26d293a83ef1093518a5da5f52.jpg

In Deutschland war etwa die Deutsche Bahn von "Wanny Cry" betroffen.

(Foto: imago/7aktuell)

Hunderttausende Rechner sind von "WannaCry" betroffen. Experten mutmaßen nun, dass das Computervirus nur eine Ablenkung ist. Sie bringen einen Angriff mit "Adylkuzz" damit in Verbindung. Doch noch eine weitere Cyberwaffe der NSA taucht auf.

Der Cyber-Angriff mit der Erpressungssoftware "WannaCry" könnte nach Einschätzung von IT-Spezialisten ein Ablenkungsmanöver von Kriminellen sein. Experten der Firma Proofpoint haben nach eigenen Angaben eine neue Angriffsart entdeckt, die mit "WannaCry" in Verbindung stehen soll. "Und auch diese nutzt die von der NSA gesammelten und dann gestohlenen Sicherheitslücken aus", sagte Proofpoint-Managerin Monika Schaufler.

Zwei Mitarbeiter ihres Unternehmens hatten gemeinsam mit dem britischen IT-Forscher Marcus Hutchins mit Hilfe eines Tricks die Verbreitung von "WannaCry" am Wochenende vorerst gestoppt.

Der neue Angriff "Adylkuzz" verfolge jedoch ein ganz anderes Ziel und arbeite im Verborgenen, teilten die Forscher mit. Auf den infizierten Rechnern werde im Hintergrund das virtuelle Geld Monero erzeugt. "Das ist für die Betrüger weitaus profitabler als ein Erpresserangriff wie etwa 'WannaCry'", sagte Schaufler.

Die sogenannte Kryptowährung funktioniere ähnlich wie Bitcoin und werde auf Marktplätzen im Darknet, einem anonymen Teil des Internets, für den Handel mit Drogen, Kreditkarten oder gefälschten Waren genutzt. Die Nutzer der gekaperten Rechner merkten dabei lediglich, dass ihre Systeme sehr langsam werden, sagte Schaufler.

Weitere Cyber-Waffe aufgetaucht

"Wir vermuten, dass 'WannaCry' mehr oder weniger versehentlich von diesem subtileren Angriff abgelenkt hat", sagte Schaufler. Die Forscher schätzen, dass auch "Adylkuzz" selbst die Aktivitäten von "WannaCry" ausgebremst hat, da die Schadsoftware Schnittstellen (Port 445) für die Vernetzung blockiert, um vollen Zugriff zur Rechenpower zu behalten und weitere Infektionen zu verhindern.

Der Angriff mit "Adylkuzz" begann den Angaben zufolge bereits spätestens am 2. Mai. Aktuell sollen Zehntausende Computer weltweit infiziert sein. Einen Schutz gebe es nur, wenn die Windows-Rechner mit den aktuellen Sicherheits-Updates von Microsoft auf dem aktuellen Stand sind.

Die "Financial Times" berichtete zudem, dass eine weitere Cyber-Waffe im Darknet aufgetaucht sei, die ursprünglich ebenfalls von der US-Spionagebehörde NSA stammt. Dabei handelt es sich dem Bericht zufolge um eine Software, die auf dem Hacker-Werkzeug "Esteem Audit" basiert. Wie "WannaCry" nutzt sie eine Lücke in älteren Versionen von Microsofts Betriebssystem Windows aus. Demnach zielt der Schadcode auf die Authentifizierungs-Funktion über Smart Cards.

Hackergruppe droht mit Leaks

Derweil kündigte eine in den "WannaCry"-Angriff verwickelte Hackergruppe die Veröffentlichung von Daten aus dem Swift-Bankensystem und diversen Atomprogrammen sowie den Verkauf hochgefährlicher Schadsoftware an. Die "Shadow Brokers" erklärten in einem Blog, sie bereiteten eine monatliche Freigabe von Dateien vor. Dabei sollten ab Juni Daten von Banken, die an Swift teilnehmen, und von den Atom- und Raketenprogrammen von Nordkorea, Russland, China und dem Iran publik gemacht werden. Zudem sei man bereit, gegen Geld Werkzeuge zur Nutzung von bislang unveröffentlichten Schwachstellen bei Windows 10 und anderen Zielen wie Internet-Browser und Mobiltelefonen weiterzugeben.

Einige Sicherheitsexperten wie Matthieu Suiche von Comae Technologies gehen davon aus, dass die Shadow Brokers Zugang zu Dateien des US-Geheimdienstes NSA haben. Die Hacker versuchten im August erfolglos, ältere Programme zu verkaufen, die aus dem NSA-Cyberarsenal stammen sollen. Teile des später veröffentlichten Codes sollen in die "WannaCry"-Schadsoftware eingebaut worden sein.

Quelle: n-tv.de, mli/dpa/rts

Mehr zum Thema