Bad Rabbit: Ransomware-Attacke in Osteuropa gestartet

In Osteuropa verbreitet sich derzeit eine neue Ransomware namens Bad Rabbit, die als mögliche Variante von Petya/NotPetya angesehen wird. In Russland soll sich die Attacke nach Angaben der Cybersicherheitsfirma Group-IB gegen mindestens drei Medienunternehmen richten, darunter die Nachrichtenagentur Interfax. Sie berichtet derzeit unter anderem auf Facebook von einem Hackerangriff und einer Verseuchung seiner Systeme mit einem „Virus“.

In der Ukraine wird indes unter anderem der Ausfall des Ticket-Systems der Metro in Kiew auf Bad Rabbit zurückgeführt. Auch der Flughafen der ukrainischen Stadt Odessa scheint betroffen zu sein. Das Computer Emergency Response Team der Ukraine warnt inzwischen vor einer möglichen neuen Welle von Cyberattacken auf IT-Systeme in der Ukraine.

Lösegeldforderung von Bad Rabbit (Bild: Trend Micro)Außerdem überwachen mehrere Sicherheitsanbieter, darunter Eset, Kaspersky Lab und Trend Micro die Aktivitäten von Bad Rabbit. Laut Eset soll sich die Ransomware ähnlich wie WannaCry und Petya/NotPetya über den NSA-Exploit Eternal Blue verbreiten, sprich eine seit März gepatchte Sicherheitslücke im Windows-SMB-Protokoll ausnutzen. Das erlaubt es Bad Rabbit, sich innerhalb eines Netzwerks zu verbreiten.

Kaspersky verweist indes auf eine Seite im Tor-Netzwerk, auf der die Erpresser ihre Lösegeldforderung in Höhe von 0,05 Bitcoins stellen. Dort nennt sich die Ransomware Bad Rabbit. Die Erpresser sollen dort zudem mit einer Erhöhung der Lösegeldforderung drohen, sollte das Opfer nicht innerhalb einer vorgegeben Zeitspanne bezahlen.

„Basierend auf unseren Untersuchungen gehen wir davon aus, dass es sich um einen zielgerichteten Angriff auf Unternehmensnetzwerke handelt, der Methoden nutzt ähnlich denen, die für die Petya/NotPetya-Angriffe benutzt wurden“, teilte Kaspersky Lab mit. Unter anderem werde Bad Rabbit auf kompromittierten Websites als Drive-by-Download angeboten.

Onion-Seite von Bad Rabbit (Bild: Kaspersky)Trend Micro hat nach eigenen Angaben ein gefälschtes Flash-Player-Update identifiziert, bei dessen Ausführung Bad Rabbit installiert wird. Danach soll Bad Rabbit den Rechner herunterfahren und beim Neustart die Dateien des Nutzers verschlüsseln. Im Anschluss werde ein weiterer Neustart ausgelöst und eine Lösegeldforderung angezeigt, die den Zugriff auf den Desktop sperre.

Darüber hinaus setzt Bad Rabbit laut Trend Micro und Kaspersky ein Open-Source-Tool namens Mimikatz ein. Es wird für das Auslesen von Anmeldedaten benutzt. Auch bei der Verschlüsselung soll Bad Rabbit auf eine frei verfügbare Software setzen, und zwar DiskCryptor. Sie unterstützt die vollständige Verschlüsselung von Systempartitionen.

WEBINAR

Ransomware Protection: Praxisleitfaden für den Schutz ihres Unternehmens

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in dem 60-minütigen Webinar die neue Sicherheitslösung Malwarebytes Endpoint Protection vor, die ein mehrstufiges Sicherheitskonzept enthält und damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen Angriffen bietet.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago