IBM-Analyse:
WPP-Cyberattacke: Datenschredder - getarnt als Ransomware
Drei Tage nach dem Angriff durch "Petya" hat WPP massiv mit den Folgen zu kämpfen. Den Urhebern ging es nicht um Lösegeld, sondern darum, größtmöglichen Schaden anzurichten.
Foto: obs/G Data Software
Es ist wesentlich schlimmer als angenommen. Auch an Tag vier nach Eindringen des Trojaners "Petya" in das IT-System von WPP ist in erheblichen Teilen der weltweit größten Agenturgruppe an einen geregelten Betrieb nicht zu denken.
Man mache zwar Fortschritte beim Wiederherstellen der vollen Arbeitsfähigkeit, allerdings lege man dabei mehr Wert auf Sicherheit als auf Geschwindigkeit, heißt es in einem WPP-Statement. Es gebe weiterhin keine Anzeichen dafür, dass bei dem Angriff sensible Daten in die Hände Dritter gefallen seien.
Das mag zwar zutreffen. Doch die Sorge ist mittlerweile eine andere: Nämlich, dass Daten möglicherweise unwiderbringlich gelöscht wurden.
Darauf deutet die neueste IBM-Analyse zu dem Cyberangriff hin. IBM ist der offizielle IT-Service-Partner der Werbegruppe. Die IBM-Sicherheitsexperten kommen zu dem Schluss, dass es den Angreifern nicht um Lösegeld geht: Die vermutete "Ransomware" enthalte gar nicht die Informationen, welche die Täter bräuchten, um infizierte Rechner wieder entschlüsseln zu können.
Laut IBM-Analyse sind die "Ransomware"-Komponenten reine Tarnung. Den Angreifern ging es demnach einzig und allein darum, den Unternehmen größtmöglichen Schaden zuzufügen und möglichst viele Rechner dauerhaft außer Gefecht zu setzen. Der Angriff sei praktisch ausschließlich gegen die Ukraine gerichtet gewesen. Dennoch seien viele internationale Konzerne, die - so wie die WPP-Gruppe - Niederlassungen in dem Land haben, von dem Angriff betroffen. Verbreitet wurde Petya Anfang der Woche über eine in Osteuropa weit verbreitete Buchhaltungssoftware.
Mit der WPP-Tochter GroupM (Mediacom, Mindshare, MEC, Maxus) war auch die größte Mediaagentur-Gruppe von dem Angriff am Dienstag betroffen. Und für Mediaagenturen sind Daten bekanntlich das Allerwichtigste.
Auch laut den Analysten von G-Data handelt es sich bei dem Angriff vom Dienstag um eine gezielte Attacke auf Firmen. "Die aktuelle Infektionswelle nimmt ganz gezielt Unternehmen ins Fadenkreuz", sagt G-Data-Sicherheitsexperte Tim Berghoff.
