Bad Rabbit: Ransomware-Attacke in Osteuropa gestartet

In Osteuropa verbreitet sich derzeit eine neue Ransomware namens Bad Rabbit, die als mögliche Variante von Petya/NotPetya angesehen wird. In Russland soll sich die Attacke nach Angaben der Cybersicherheitsfirma Group-IB gegen mindestens drei Medienunternehmen richten, darunter die Nachrichtenagentur Interfax. Sie berichtet derzeit unter anderem auf Facebook von einem Hackerangriff und einer Verseuchung seiner Systeme mit einem „Virus“.

In der Ukraine wird indes unter anderem der Ausfall des Ticket-Systems der Metro in Kiew auf Bad Rabbit zurückgeführt. Auch der Flughafen der ukrainischen Stadt Odessa scheint betroffen zu sein. Das Computer Emergency Response Team der Ukraine warnt inzwischen vor einer möglichen neuen Welle von Cyberattacken auf IT-Systeme in der Ukraine.

Lösegeldforderung von Bad Rabbit (Bild: Trend Micro)Außerdem überwachen mehrere Sicherheitsanbieter, darunter Eset, Kaspersky Lab und Trend Micro die Aktivitäten von Bad Rabbit. Laut Eset soll sich die Ransomware ähnlich wie WannaCry und Petya/NotPetya über den NSA-Exploit Eternal Blue verbreiten, sprich eine seit März gepatchte Sicherheitslücke im Windows-SMB-Protokoll ausnutzen. Das erlaubt es Bad Rabbit, sich innerhalb eines Netzwerks zu verbreiten.

Kaspersky verweist indes auf eine Seite im Tor-Netzwerk, auf der die Erpresser ihre Lösegeldforderung in Höhe von 0,05 Bitcoins stellen. Dort nennt sich die Ransomware Bad Rabbit. Die Erpresser sollen dort zudem mit einer Erhöhung der Lösegeldforderung drohen, sollte das Opfer nicht innerhalb einer vorgegeben Zeitspanne bezahlen.

„Basierend auf unseren Untersuchungen gehen wir davon aus, dass es sich um einen zielgerichteten Angriff auf Unternehmensnetzwerke handelt, der Methoden nutzt ähnlich denen, die für die Petya/NotPetya-Angriffe benutzt wurden“, teilte Kaspersky Lab mit. Unter anderem werde Bad Rabbit auf kompromittierten Websites als Drive-by-Download angeboten.

Onion-Seite von Bad Rabbit (Bild: Kaspersky)Trend Micro hat nach eigenen Angaben ein gefälschtes Flash-Player-Update identifiziert, bei dessen Ausführung Bad Rabbit installiert wird. Danach soll Bad Rabbit den Rechner herunterfahren und beim Neustart die Dateien des Nutzers verschlüsseln. Im Anschluss werde ein weiterer Neustart ausgelöst und eine Lösegeldforderung angezeigt, die den Zugriff auf den Desktop sperre.

Darüber hinaus setzt Bad Rabbit laut Trend Micro und Kaspersky ein Open-Source-Tool namens Mimikatz ein. Es wird für das Auslesen von Anmeldedaten benutzt. Auch bei der Verschlüsselung soll Bad Rabbit auf eine frei verfügbare Software setzen, und zwar DiskCryptor. Sie unterstützt die vollständige Verschlüsselung von Systempartitionen.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.