GlobalSign Blog

03 Nov 2017

Neue Woche, neuer Ransomware-Angriff: Bad Rabbit

Um Sie auf dem Laufenden und immer wachsam für die neuesten Malware-/Ransomware- und Internetsicherheits-Angriffe zu halten, haben wir Berichte der letzten Tage von der BBC und ComputerWeekly über eine neue Ransomware zusammengetragen. Diese Ransomware mit dem Spitznamen "Bad Rabbit" hat sich in Russland, der Ukraine und jetzt in den USA und anderswo ausgebreitet. Das "wascally wabbit (schurkische Kaninchen)”, das Ähnlichkeiten zu den WannaCry und Petya Ausbrüchen Anfang dieses Jahres aufweist, hat Systeme auf drei russischen Websites, einem Flughafen in der Ukraine und einer U-Bahn in deren Hauptstadt Kiew befallen.

Ransomware - Eine schnelle Auffrischung

Ransomware ist eine Art von Malware, die einen Computer infiziert und entweder die Kontrolle über das Kernbetriebssystem durch Sperrmechanismen oder den Besitz von Datendateien durch deren Verschlüsselung übernimmt. Das Programm fordert dann den Benutzer auf, eine "Lösegeldzahlung" an die böswillige Person oder Organisation zu leisten, um die Sperren zu entfernen und den Endpunkt oder die Dateien des Benutzers wiederherzustellen.

Wie der BBC-Bericht feststellt, werden Unternehmen und ihre Netzwerke ausgeschlossen. "In einigen der Unternehmen wurde die Arbeit komplett lahmgelegt - Server und Workstations wurden verschlüsselt", sagte Ilya Sachkov, Leiter der russischen Internetsicherheitsfirma Group-IB, gegenüber der Nachrichtenagentur TASS.

Bad Rabbit verschlüsselt den Inhalt eines Computers und fordert eine Zahlung - in diesem Fall 0,05 Bitcoins oder etwa 280 Dollar (213 £).

Einem späteren Bericht des Wall Street Journal nach, begann sich "Bad Rabbit" in den USA zu verbreiten.

... nach Angaben des tschechischen Antivirenherstellers Avast Software s.r.o. ... gab das Computer Emergency Readiness Team des US-amerikanischen Ministeriums für innere Sicherheit eine Warnung heraus, dass es "mehrere Berichte" über Infektionen in den USA erhalten habe.

Die Ransomware tarnte sich als Update für das Flash-Multimediaprodukt von Adobe Systems Inc., sagten Sicherheitsexperten, und nachdem dieses heruntergeladen wurde, versuchte sie, sich in den Netzwerken der Opfer auszubreiten.

Die Angriffe "nutzen keine legitimen Flash Player-Updates, noch sind sie mit bekannten Schwachstellen von Adobe-Produkten verbunden", sagte eine Adobe-Sprecherin in einer E-Mail.

Bad Rabbit Tweet

Forscher Kevin Beaumont hat auf Twitter einen Screenshot gepostet, der zeigt, wie Bad Rabbit in Windows Aufgaben erstellt, die nach den Drachen Drogon und Rhaegal in der TV-Serie Game of Thrones benannt sind.

Die Berichte von Nachrichtenagenturen (siehe Links unten) enthalten die folgenden Schlussfolgerungen und Warnungen des Sicherheitsexperten Allan Liska, Senior Solutions Architect bei Recorded Future:

  • Bad Rabbit konzentriert sich auf die reine Unterbrechung über den Microsoft Windows Server Message Block (SMB) sowie einen ähnlichen Algorithmus wie im NotPetya-Code. Es stützt sich auf lokale Passwort-Dumps und eine Liste von gängigen Passwörtern, um zu versuchen, von einem Computer auf einen anderen zu gelangen und sich somit über das Netzwerk zu verbreiten.
  • Der Code von Bad Rabbit stützt sich stark auf das Befehlszeilenskript und verwendet ein herkömmliches Zahlungsportal für das Lösegeld, anstatt die Opfer zu bitten, eine E-Mail zu senden.
  • Bleiben Sie wachsam, denn wir werden auch weiterhin massive Angriffe mit Konsequenzen für die ökonomische, Mitarbeiter- und öffentliche Sicherheit mit sich weiterentwickelnden Angriffsmethoden erleben, wie z.B. evasive Methoden, um Aktivitäten und Absichten zu verbergen.
  • Ein besseres Verständnis der menschlichen Punkte der Angreifer (wo sie angreifen und interagieren, erhaltene Berechtigungen) und Motivationsziel (finanzieller Gewinn, Rache, politischer oder Hacker Aktivismus) ist notwendig, um unsere Sicherheitsstrategien zu gestalten.

SentinalOne, ein Anbieter für Endpoint Security streicht die fünf wichtigsten Schritte für den Umgang mit einem Ransomware-Angriff heraus:

  1. Ordnungskräfte alarmieren. Sie können wahrscheinlich nicht helfen, aber sie sollten, wie bei jeder Lösegeldaktivität, informiert werden.
  2. Infizierten Computer isolieren. Es ist wichtig, dass das System offline genommen wird, da die Angreifer im Grunde Ihren Computer übernommen haben und ihn damit einsetzen können, um Zugriff auf andere Systeme im Netzwerk zu erhalten.
  3. Lösegeld nicht bezahlen.  Wie bei jeder Art Lösegeld, haben Sie keine Garantie, dass Sie Ihre Daten zurückerhalten. Sie ermuntern Angreifer damit nur, ihr lukratives Spielchen weiter zu treiben. Wenn Sie darüber hinaus einmal zahlen und tatsächlich Ihre Schlüssel erhalten, können Sie zukünftig das Ziel eines wiederholten (und potenziell kostspieligeren) Lösegeldangriffs werden.
  4. Beheben. Benutzen Sie Endpoint Security Software, um die Ransomware-Software zu finden und zu entfernen. Wenn diese die Bedrohung nicht findet, formatieren Sie Ihren Computer.
  5. Wiederherstellen. Stellen Sie Ihre Dateien mit dem aktuellsten Back-up wieder her.

Sie möchten mehr über die Verhinderung von Ransomware von vornherein erfahren? Wir haben hier einige Vorschläge.

Und um es erwähnt zu haben: Eine Umfrage von einem Forschungszentrum für Internetsicherheit an der University of Kent hat festgestellt, dass mehr als 40% der mit CryptoLocker Infizierten tatsächlich zustimmten. das geforderte Lösegeld zu zahlen, was ein großer Anreiz für Hacker ist, mehr Systeme anzugreifen. Also, lasst uns alle sicher bleiben ... es ist "Wabbit-Saison".

Allan Liska ist Senior Solutions Architect bei Recorded Future und Mitautor des Buches 'Ransomware: Defending Against Digital Extortion.' Im Folgenden finden Sie Links zu Informationen, auf die zuvor verwiesen wurde, und die Kommentare und Meinungen von Liska erwähnen:

Allan Liska - Ransomware Informationen:

Artikel teilen