Nun schon wieder innerhalb von wenigen Wochen richtet ein Erpressungstrojaner weltweit Schäden an. Betroffen sind zwar auch Unternehmen aus Deutschland, doch vor allem Einrichtungen in der Ukraine. Darunter auch die Strahlungsüberwachung in Tschernobyl. Der staatliche ukrainische Flugzeugbauer Antonov bezeichnet dies als Angriff. Doch auch Banken, der staatliche Stromnetzbetreiber, der Kiewer Flughafen und andere Unternehmen des Landes sind betroffen, so dass das Netzwerk der Regierung abgeschaltet werden musste. Schließlich musste sogar an der Ruine des Katastrophen-Atomkraftwerks Tschernobyl die Radioaktivität nach dem Ausfall der Computer manuell gemessen werden. Attackiert wurde auch die Deutsche Post in der Ukraine. Getroffen habe es aber nur die Express-Sparte, die Post habe Maßnahmen eingeleitet, um Sendungen weiter bearbeiten zu können. Auch in der Zentrale des Nivea-Herstellers Beiersdorf in Hamburg funktionierte ab mittags nichts mehr, weder die Computer noch die gesamte Telefonanlange.
Zunächst gab es nur wenige Informationen darüber, wer hinter den Angriffen stecken könnte, doch ersten Erkenntnissen zufolge handelte es sich bei der Schadsoftware um eine Version der bereits seit vergangenem Jahr bekannten Erpressungssoftware "Petya". Die für Internetkriminalität zuständige Polizei in der Ukraine verdächtigte ein schädliches Software-Update, das die Hackerattacke eventuell erst ermöglicht hätte. So habe die Aktualisierung der Buchhaltungssoftware MEDoc zur Infizierung einer unbekannten Zahl von Organisationen zunächst in der Ukraine und später auch international gesorgt. Der MEDoc-Konzern war ebenfalls von dem Cyberangriff betroffen. Danach stieg die Zahl weiterer Firmen und Behörden, die Opfer des Angriffs wurden, lawinenartig. Die rumänische Cyber-Sicherheitsfirma Bitdefender vermutete eine automatische Verbreitung des Programms ohne menschliches Zutun, sogenannte Ransomware. Erpresser verschlüsseln mit ihnen betroffene Computer und verlangen für deren Entschlüsselung dann Lösegeld. Andernfalls werden die Daten gelöscht. Bei "WannaCry" sollte der Geldbetrag in Bitcoins - einer digitalen Währung - bezahlt werden.
Die IT-Sicherheitsfirma Symantec erklärt, der Trojaner verbreite sich über dieselbe Sicherheitslücke in älterer Windows-Software wie auch "WannaCry. Diese Schwachstelle wurde ursprünglich vom US-Abhördienst NSA ausgenutzt und im vergangenen Jahr von Hackern veröffentlicht. Es gibt zwar schon seit Monaten ein Update, das sie schließen kann, doch viele Firmen haben das Update noch nicht installiert.