Böses Kaninchen: Eine neue Ransomware-Epidemie ist auf dem Vormarsch
Der Beitrag wird aktualisiert, da unsere Experten neue Details über die Malware finden.
Wir haben in diesem Jahr bereits zwei groß angelegte Ransomware-Angriffe erlebt – wir sprechen von den berüchtigten WannaCry und ExPetr (auch bekannt als Petya und NotPetya). Es scheint, dass ein dritter Angriff auf dem Vormarsch ist: Die neue Malware heißt Bad Rabbit – zumindest ist das der Name, auf den die in der Lösegeldforderung verlinkte Darknet-Website hinweist.
Was derzeit bekannt ist, ist, dass die Bad Rabbit Ransomware mehrere große russische Medienunternehmen infiziert hat, wobei die Nachrichtenagentur Interfax und Fontanka.ru zu den bestätigten Opfern der Malware gehören. Der internationale Flughafen Odessa hat über einen Cyberangriff auf sein Informationssystem berichtet, obwohl noch nicht klar ist, ob es sich um denselben Angriff handelt.
Die Kriminellen hinter dem Bad Rabbit-Angriff fordern 0,05 Bitcoin als Lösegeld – das sind beim aktuellen Wechselkurs etwa 280 US-Dollar.
Nach unseren Erkenntnissen handelt es sich um einen Drive-by-Angriff: Die Opfer laden ein gefälschtes Adobe Flash-Installationsprogramm von infizierten Websites herunter und starten die .exe-Datei manuell, wodurch sie sich selbst infizieren. Unsere Forscher haben eine Reihe kompromittierter Websites entdeckt, allesamt Nachrichten- oder Medienseiten.
Nach unseren Daten befinden sich die meisten Opfer dieser Angriffe in Russland. Wir haben auch ähnliche, aber weniger Angriffe in der Ukraine, der Türkei und Deutschland beobachtet. Diese Ransomware hat Geräte über eine Reihe gehackter russischer Medien-Websites infiziert. Unseren Untersuchungen zufolge handelt es sich um einen gezielten Angriff auf Unternehmensnetzwerke, bei dem ähnliche Methoden wie beim ExPetr-Angriff eingesetzt werden.
Unsere Experten haben genügend Beweise gesammelt, um den Bad Rabbit-Angriff mit dem ExPetr-Angriff in Verbindung zu bringen, der im Juni dieses Jahres stattfand. Laut ihrer Analyse wurde ein Teil des in Bad Rabbit verwendeten Codes zuvor in ExPetr entdeckt.
Zu den weiteren Gemeinsamkeiten gehören die gleiche Liste von Domänen, die für den Drive-by-Angriff verwendet wurden (einige dieser Domänen wurden bereits im Juni gehackt, aber nicht verwendet), sowie die gleichen Techniken, die für die Verbreitung der Malware in Unternehmensnetzwerken verwendet wurden – beide Angriffe verwendeten zu diesem Zweck die Windows Management Instrumentation Command-line (WMIC). Es gibt jedoch einen Unterschied: Im Gegensatz zu ExPetr verwendet Bad Rabbit nicht den EternalBlue-Exploit für die Infektion. Stattdessen nutzt er den EternalRomance-Exploit, um sich seitlich im lokalen Netzwerk zu bewegen.
Unsere Experten gehen davon aus, dass derselbe Bedrohungsakteur hinter beiden Angriffen steckt und dass dieser Bedrohungsakteur den Bad Rabbit-Angriff bereits im Juli 2017 oder sogar früher vorbereitet hat. Im Gegensatz zu ExPetr scheint es sich bei Bad Rabbit jedoch nicht um einen Wiper, sondern lediglich um Ransomware zu handeln: Er verschlüsselt einige Dateitypen und installiert einen modifizierten Bootloader, sodass der PC nicht mehr normal gestartet werden kann. Da es sich nicht um einen Wiper handelt, haben die Übeltäter dahinter möglicherweise die Möglichkeit, das Passwort zu entschlüsseln, das wiederum benötigt wird, um Dateien zu entschlüsseln und dem Computer das Booten des Betriebssystems zu ermöglichen.
Leider sagen unsere Experten, dass es keine Möglichkeit gibt, die verschlüsselten Dateien zurückzubekommen, ohne den Verschlüsselungsschlüssel zu kennen. Wenn Bad Rabbit jedoch aus irgendeinem Grund nicht die gesamte Festplatte verschlüsselt hat, ist es möglich, die Dateien aus den Schattenkopien wiederherzustellen (wenn die Schattenkopien vor der Infektion aktiviert waren). Wir setzen unsere Untersuchung fort. In der Zwischenzeit finden Sie weitere technische Details in diesem Beitrag auf Securelist.
Die Produkte von Kaspersky Lab erkennen den Angriff mit folgenden Urteilen:
- Trojan-Ransom.Win32.Gen.ftl
- Trojan-Ransom.Win32.BadRabbit
- DangerousObject.Multi.Generic
- PDM:Trojan.Win32.Generic
- Intrusion.Win.CVE-2017-0147.sa.leak
Um zu vermeiden, ein Opfer von Bad Rabbit zu werden:
Nutzer von Kaspersky Lab Produkten:
- Stellen Sie sicher, dass Sie System Watcher und Kaspersky Security Network aktiviert haben. Falls nicht, müssen Sie diese Funktionen unbedingt aktivieren.
Andere Benutzer:
- Blockieren Sie die Ausführung der Dateien c:windowsinfpub.dat und c:Windowscscc.dat.
- Deaktivieren Sie den WMI-Dienst (falls dies in Ihrer Umgebung möglich ist), um zu verhindern, dass sich die Malware über Ihr Netzwerk ausbreitet.
Tipps für alle Benutzer:
- Sichern Sie Ihre Daten.
- Zahlen Sie das Lösegeld nicht.