Eine neue Ransomware-Kampagne hat eine Reihe von hochrangigen Zielen in Russland und Osteuropa getroffen.
Die Ransomware mit dem Namen Bad Rabbit begann am Dienstag, den 24. Oktober, Systeme zu infizieren, und die Art und Weise, in der Organisationen anscheinend gleichzeitig betroffen waren, zog sofort Vergleiche mit den diesjährigen Epidemien WannaCry und Petya nach sich.
Nach dem ersten Ausbruch herrschte Verwirrung darüber, was genau Bad Rabbit ist. Jetzt, da sich die anfängliche Panik gelegt hat, ist es jedoch möglich, der Sache auf den Grund zu gehen.
1. Der Cyberangriff hat Organisationen in ganz Russland und Osteuropa getroffen
Organisationen in ganz Russland und der Ukraine – sowie eine kleine Anzahl in Deutschland und der Türkei – sind der Ransomware zum Opfer gefallen. Forscher von Avast haben die Malware auch in Polen und Südkorea entdeckt.
Das russische Cybersicherheitsunternehmen Group-IB bestätigte, dass mindestens drei Medienorganisationen im Land von der dateiverschlüsselnden Malware betroffen sind, während die russische Nachrichtenagentur Interfax berichtete, dass ihre Systeme von einem „Hackerangriff“ betroffen sind – und durch den Vorfall offenbar offline geschaltet wurden.
Andere Organisationen in der Region, darunter der internationale Flughafen von Odessa und die Kiewer Metro, gaben ebenfalls bekannt, dass sie Opfer eines Cyberangriffs geworden sind, während das CERT-UA, das Computer Emergency Response Team der Ukraine, den „möglichen Beginn einer neuen Welle von Cyberangriffen auf die Informationsressourcen der Ukraine“ meldete, nachdem Berichte über Bad Rabbit-Infektionen eingegangen waren.
Zum Zeitpunkt der Erstellung dieses Artikels geht man von fast 200 infizierten Zielen aus, was darauf hindeutet, dass es sich nicht um einen Angriff wie WannaCry oder Petya handelt – aber es verursacht immer noch Probleme für infizierte Organisationen.
„Die Gesamtzahl der bekannten Samples ist im Vergleich zu den anderen „gewöhnlichen“ Stämmen recht gering“, sagte Jakub Kroustek, Malware-Analyst bei Avast.
2. Es handelt sich definitiv um Ransomware
Diejenigen, die das Pech hatten, Opfer des Angriffs zu werden, erkannten schnell, was passiert war, denn die Ransomware ist nicht subtil – sie präsentiert den Opfern eine Lösegeldnotiz, die ihnen mitteilt, dass auf ihre Dateien „nicht mehr zugegriffen werden kann“ und „niemand in der Lage sein wird, sie ohne unseren Entschlüsselungsdienst wiederherzustellen“.
Bad Rabbit Lösegeldnotiz.
Bild: ESET
Opfer werden auf eine Tor-Zahlungsseite geleitet und bekommen einen Countdown-Timer angezeigt. Wenn sie innerhalb der ersten 40 Stunden zahlen, so wird ihnen gesagt, beträgt die Zahlung für die Entschlüsselung der Dateien 0,05 Bitcoin – etwa 285 US-Dollar. Denjenigen, die das Lösegeld nicht zahlen, bevor der Timer Null erreicht, wird gesagt, dass die Gebühr steigt und sie mehr zahlen müssen.
Bad Rabbit Zahlungsseite.
Bild: Kaspersky Lab
Die Verschlüsselung verwendet DiskCryptor, eine legitime Open-Source-Software, die für die vollständige Verschlüsselung von Laufwerken verwendet wird. Die Schlüssel werden mit CryptGenRandom generiert und dann durch einen fest kodierten öffentlichen RSA 2048-Schlüssel geschützt.
3. Es basiert auf Petya/Nicht Petya
Wenn die Lösegeldforderung bekannt vorkommt, liegt das daran, dass sie fast identisch mit derjenigen ist, die Opfer des Petya-Ausbruchs im Juni gesehen haben. Die Ähnlichkeiten sind auch nicht nur kosmetischer Natur – Bad Rabbit hat auch Elemente hinter den Kulissen mit Petya gemeinsam.
Eine Analyse von Forschern bei Crowdstrike hat ergeben, dass Bad Rabbit und NotPetyas DLL (Dynamic Link Library) zu 67 Prozent denselben Code enthalten, was darauf hindeutet, dass die beiden Ransomware-Varianten eng miteinander verwandt sind und möglicherweise sogar von demselben Bedrohungsakteur stammen.
4. er verbreitet sich über ein gefälschtes Flash-Update auf kompromittierten Websites
Bad Rabbit verbreitet sich hauptsächlich über Drive-by-Downloads auf gehackten Websites. Es werden keine Exploits verwendet, sondern die Besucher der kompromittierten Websites – von denen einige seit Juni kompromittiert sind – werden darauf hingewiesen, dass sie ein Flash-Update installieren müssen. Natürlich handelt es sich dabei nicht um ein Flash-Update, sondern um einen Dropper für die bösartige Installation.
Eine kompromittierte Website fordert einen Benutzer auf, ein gefälschtes Flash-Update zu installieren, das Bad Rabbit verbreitet.
Bild: ESET
Infizierte Websites – vor allem in Russland, Bulgarien und der Türkei – werden kompromittiert, indem JavaScript in ihren HTML-Body oder in eine ihrer .js-Dateien injiziert wird.
5. Er kann sich seitlich über Netzwerke ausbreiten…
Ähnlich wie Petya verfügt Bad Rabbit über eine SMB-Komponente, die es ihm ermöglicht, sich seitlich über ein infiziertes Netzwerk zu bewegen und sich ohne Benutzerinteraktion zu verbreiten, so die Forscher von Cisco Talos.
Was Bad Rabbit bei seiner Ausbreitung hilft, ist eine Liste einfacher Benutzernamen- und Kennwortkombinationen, die er ausnutzen kann, um sich seinen Weg über Netzwerke zu bahnen. Die Liste mit den schwachen Passwörtern besteht aus einer Reihe der üblichen Verdächtigen für schwache Passwörter, wie z. B. einfache Zahlenkombinationen und „Passwort“.
6. … aber er nutzt nicht EternalBlue
Als Bad Rabbit zum ersten Mal auftauchte, wurde vermutet, dass er wie WannaCry die EternalBlue-Sicherheitslücke zur Verbreitung nutzt. Dies scheint jedoch nicht der Fall zu sein.
„Wir haben derzeit keine Beweise dafür, dass der EternalBlue-Exploit zur Verbreitung der Infektion genutzt wird“, sagte Martin Lee, Technical Lead for Security Research bei Talos, gegenüber ZDNet.
7. Es ist möglicherweise nicht wahllos
Zum gleichen Zeitpunkt nach dem WannaCry-Ausbruch waren weltweit Hunderttausende von Systemen der Ransomware zum Opfer gefallen. Bad Rabbit scheint jedoch nicht wahllos Ziele zu infizieren, vielmehr vermuten Forscher, dass es nur ausgewählte Ziele infiziert.
„Unsere Beobachtungen legen nahe, dass es sich um einen gezielten Angriff auf Unternehmensnetzwerke handelt“, so die Forscher von Kaspersky Lab.
In der Zwischenzeit sagen die Forscher von ESET, dass Anweisungen in dem Skript, das in infizierte Websites injiziert wird, „feststellen können, ob der Besucher von Interesse ist, und dann der Seite Inhalte hinzufügen“, wenn das Ziel als geeignet für eine Infektion erachtet wird.
Zum jetzigen Zeitpunkt gibt es jedoch keinen offensichtlichen Grund, warum Medienorganisationen und die Infrastruktur in Russland und der Ukraine speziell von diesem Angriff betroffen sind.
8. Es ist nicht klar, wer dahinter steckt
Zum jetzigen Zeitpunkt ist noch nicht bekannt, wer die Ransomware verteilt oder warum, aber die Ähnlichkeit mit Petya hat einige Forscher zu der Vermutung veranlasst, dass Bad Rabbit von derselben Angriffsgruppe stammt – obwohl auch das nicht hilft, den Angreifer oder das Motiv zu identifizieren, da der Täter der Juni-Epidemie nie identifiziert wurde.
Das Besondere an diesem Angriff ist, dass er hauptsächlich Russland infiziert hat – osteuropäische cyberkriminelle Organisationen vermeiden es in der Regel, das „Mutterland“ anzugreifen, was darauf hindeutet, dass es sich wahrscheinlich nicht um eine russische Gruppe handelt.
9. Er enthält Verweise auf Game of Thrones
Wer auch immer hinter Bad Rabbit steckt, er scheint ein Fan von Game of Thrones zu sein: Der Code enthält Verweise auf Viserion, Drogon und Rhaegal, die Drachen, die in der Fernsehserie und den darauf basierenden Romanen vorkommen. Die Autoren des Codes tun also nicht viel, um das stereotype Bild von Hackern als Geeks und Nerds zu ändern.
Verweise auf Game of Thrones-Drachen im Code.
Bild: Kaspersky Lab
10. Sie können sich davor schützen, von Bad Rabbit infiziert zu werden
Zum jetzigen Zeitpunkt ist nicht bekannt, ob es möglich ist, von Bad Rabbit gesperrte Dateien zu entschlüsseln, ohne nachzugeben und das Lösegeld zu zahlen – obwohl Forscher sagen, dass diejenigen, die Opfer werden, die Gebühr nicht zahlen sollten, da dies nur das Wachstum von Ransomware fördert.
Eine Reihe von Sicherheitsanbietern sagen, dass ihre Produkte vor Bad Rabbit schützen. Wer jedoch sichergehen will, dass er dem Angriff nicht zum Opfer fällt, kann laut Kaspersky Lab die Ausführung der Datei „c: \ windows \ infpub.dat, C: \ Windows \ cscc.dat‘ blockieren, um eine Infektion zu verhindern.
Vorherige Berichterstattung
Bad Rabbit ransomware: Eine neue Variante von Petya breitet sich aus, warnen Forscher
Aktualisiert: Organisationen in Russland, der Ukraine und anderen Ländern sind einer vermutlich neuen Variante von Ransomware zum Opfer gefallen.
MEHR LESEN ÜBER RANSOMWARE
- Nach WannaCry wird Ransomware schlimmer, bevor sie besser wird
- Ransomware: Ein Leitfaden zu einer der größten Bedrohungen im Internet
- 6 Tipps zur Vermeidung von Ransomware nach Petya und WannaCry (TechRepublic)
- Ihr Versäumnis, wichtige Cybersicherheits-Updates anzuwenden, gefährdet Ihr Unternehmen vor dem nächsten WannaCry oder Petya
- So schützen Sie sich vor WannaCry-Ransomware (CNET)