Bad Rabbit: Ransomware-Attacke in Osteuropa gestartet

Es handelt sich offenbar um eine Variante von Petya/NotPetya. Sie nutzt den NSA-Exploit Eternal Blue und verbreitet sich selbstständig in Netzwerken. Bad Rabbit fordert ein Lösegeld von 0,05 Bitcoins. Die Malware kann aber auch Anmeldedaten auslesen.

In Osteuropa verbreitet sich derzeit eine neue Ransomware namens Bad Rabbit, die als mögliche Variante von Petya/NotPetya angesehen wird. In Russland soll sich die Attacke nach Angaben der Cybersicherheitsfirma Group-IB gegen mindestens drei Medienunternehmen richten, darunter die Nachrichtenagentur Interfax. Sie berichtet derzeit unter anderem auf Facebook von einem Hackerangriff und einer Verseuchung seiner Systeme mit einem „Virus“.

In der Ukraine wird indes unter anderem der Ausfall des Ticket-Systems der Metro in Kiew auf Bad Rabbit zurückgeführt. Auch der Flughafen der ukrainischen Stadt Odessa scheint betroffen zu sein. Das Computer Emergency Response Team der Ukraine warnt inzwischen vor einer möglichen neuen Welle von Cyberattacken auf IT-Systeme in der Ukraine.

Lösegeldforderung von Bad Rabbit (Bild: Trend Micro)Lösegeldforderung von Bad Rabbit (Bild: Trend Micro)Außerdem überwachen mehrere Sicherheitsanbieter, darunter Eset, Kaspersky Lab und Trend Micro die Aktivitäten von Bad Rabbit. Laut Eset soll sich die Ransomware ähnlich wie WannaCry und Petya/NotPetya über den NSA-Exploit Eternal Blue verbreiten, sprich eine seit März gepatchte Sicherheitslücke im Windows-SMB-Protokoll ausnutzen. Das erlaubt es Bad Rabbit, sich innerhalb eines Netzwerks zu verbreiten.

Kaspersky verweist indes auf eine Seite im Tor-Netzwerk, auf der die Erpresser ihre Lösegeldforderung in Höhe von 0,05 Bitcoins stellen. Dort nennt sich die Ransomware Bad Rabbit. Die Erpresser sollen dort zudem mit einer Erhöhung der Lösegeldforderung drohen, sollte das Opfer nicht innerhalb einer vorgegeben Zeitspanne bezahlen.

„Basierend auf unseren Untersuchungen gehen wir davon aus, dass es sich um einen zielgerichteten Angriff auf Unternehmensnetzwerke handelt, der Methoden nutzt ähnlich denen, die für die Petya/NotPetya-Angriffe benutzt wurden“, teilte Kaspersky Lab mit. Unter anderem werde Bad Rabbit auf kompromittierten Websites als Drive-by-Download angeboten.

Onion-Seite von Bad Rabbit (Bild: Kaspersky)Onion-Seite von Bad Rabbit (Bild: Kaspersky)Trend Micro hat nach eigenen Angaben ein gefälschtes Flash-Player-Update identifiziert, bei dessen Ausführung Bad Rabbit installiert wird. Danach soll Bad Rabbit den Rechner herunterfahren und beim Neustart die Dateien des Nutzers verschlüsseln. Im Anschluss werde ein weiterer Neustart ausgelöst und eine Lösegeldforderung angezeigt, die den Zugriff auf den Desktop sperre.

Darüber hinaus setzt Bad Rabbit laut Trend Micro und Kaspersky ein Open-Source-Tool namens Mimikatz ein. Es wird für das Auslesen von Anmeldedaten benutzt. Auch bei der Verschlüsselung soll Bad Rabbit auf eine frei verfügbare Software setzen, und zwar DiskCryptor. Sie unterstützt die vollständige Verschlüsselung von Systempartitionen.

WEBINAR

Ransomware Protection: Praxisleitfaden für den Schutz ihres Unternehmens

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in dem 60-minütigen Webinar die neue Sicherheitslösung Malwarebytes Endpoint Protection vor, die ein mehrstufiges Sicherheitskonzept enthält und damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen Angriffen bietet.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Cybercrime, Eset, Hacker, Kaspersky, Ransomware, Security, Sicherheit, Trend Micro

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Bad Rabbit: Ransomware-Attacke in Osteuropa gestartet

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *