Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.735.556 Produkten

Olivia von Westernhagen 152

Ransomware: Bad Rabbit lauerte in Watering Holes Update

Ransomware: Bad Rabbit lauert in Watering Holes

Bild: Kaspersky

Bad Rabbit griff im Rahmen zielgerichteter Kampagnen vor allem Mitarbeiter osteuropäischer Unternehmen und Behörden an. Medienberichten zufolge verbreitet sich die Ransomware nun auch in Deutschland; die vorhandenen Hinweise sind allerdings eher dürftig.

Die neue Ransomware Bad Rabbit, die am vergangenen Dienstag unter anderem den Betrieb der russischen Nachrichtenagentur Interfax lahmlegte, soll mittels sogenannter Watering-Hole-Angriffe gezielt an Mitarbeiter vor allem osteuropäischer Unternehmen verteilt worden sein. Das geht aus Malware-Analysen verschiedener Sicherheitssoftware-Hersteller hervor. Bei Watering-Hole-Angriffen infizieren Angreifer Webseiten, von denen sie wissen, dass ihre Zielgruppe sie immer wieder aufsucht, mit Malware.

Anzeige

Laut Trend Micro enthielten mit Bad Rabbit kompromittierte Seiten ein Skript, das Nutzer zu einem angeblichen Flash-Player-Installer weiterleitete. Kaspersky erwähnt, dass dieser Redirect unter anderem auf legitimen News-Websites stattfand. Namen nennt der Hersteller aber nicht. Die Ransomware selbst habe sich als Flash-Player-Update mit der Bezeichnung install_flash_player.exe getarnt. Zur korrekten Ausführung auf einem Zielrechner sei der Schädling sowohl auf einen Doppelklick des Nutzers als auch auf das Vorhandensein von Admin-Rechten angewiesen.

Analysen des Schadcodes zeigen, dass sich die Bad-Rabbit-Entwickler an vorhandener Ransomware, aber auch an der Codebasis legitimer Software bedient haben. So veröffentlichte Kaspersky einen Screenshot, der eine Codepassage von Bad Rabbit und der Ransomware NotPetya als nahezu identisch enttarnt. Die Verschlüsselungsroutine im Schadcode basiere wiederum auf dem Tool DiskCryptor, einer freien Software zur Verschlüsselung von Festplatten und Wechseldatenträgern. Hersteller ESET, der Bad Rabbit unter dem Alias Diskcoder.D erkennt, will zudem herausgefunden haben, dass die Ransomware das Metasploit-Tool Mimikatz zum Abgreifen von Login-Daten verwendet.

Eine Schwachstelle in der Verschlüsselungsroutine, die die Wiederherstellung von Daten ohne Lösegeldzahlung ermöglicht, scheint es nach bisherigem Kenntnisstand nicht zu geben. Wie üblich raten die Hersteller von der Zahlung ab. Ein Forscher von McAfee veröffentlichte eine Liste mit Dateiendungen, die Bad Rabbit verschlüsselt.

Einem Unternehmenssprecher zufolge ist ESET sicher, "dass auch Deutschland im Zuge des laufenden Cyberangriffs zur Zielscheibe wird." Dies legten Erfahrungen mit früheren Ransomware-Angriffen nahe. Diese Einschätzung teilen offenbar zahlreiche deutsche Medien: Ihre Überschriften lesen sich, als sei Bad Rabbit bereits in Deutschland angekommmen. Im Text verweisen sie oftmals auf eine Aussage Kasperskys, die sich im Original gar nicht bedrohlich liest. Der Hersteller schreibt lediglich, dass sich die meisten Angriffsziele in Russland befänden und er ähnliche, "aber weniger" Angriffe auch in der Ukraine, Türkei und Deutschland beobachtet habe.

Auch Trend Micro nennt Angrifssziele außerhalb Russlands – Dänemark, Irland und die Türkei. Dort habe man "einige mit Bad Rabbit präparierte Webseiten entdeckt". Konkrete Webseiten oder gar Zahlen werden auch hier nicht genannt. Somit bleibt abzuwarten, ob und in welchem Ausmaß Bad Rabbit in Deutschland zum Problem wird.

[UPDATE 27.10.17, 14:35]: Sicherheitsforscher von Cisco Talos wollen im Rahmen ihrer Schadcode-Analysen entdeckt haben, dass Bad Rabbit zur Weiterverbreitung in Firmennetzwerken den so genannnten EternalRomance-Exploit verwendet. Dieser zählt zu den NSA-Tools, die die Hackergruppe Shadow Brokers im April dieses Jahres veröffentlichte. Laut Cisco Talos nutzte auch der Wiper NotPetya diese Angriffstechnik – allerdings in Kombination mit EternalBlue, einem zweiten NSA-Exploit. Letzteren hat Cisco Talos im Bad-Rabbit-Code bislang aber nicht gesichtet.
(ovw)

152 Kommentare

Themen:

Anzeige
  1. #BadRabbit: Wohl immer mehr Ziele von neuem Kryptotrojaner getroffen

    Hacker

    Die russische Nachrichtenagentur Interfax ist am Dienstag durch einen Hackerangriff lahmgelegt worden. Fast alle Server seien betroffen, sagte der stellvertretende Generaldirektor Alexej Gorschkow. Es sei unklar, wann das Problem behoben werden könne.

  2. Olympic Destroyer: Hackerangriff auf die Olympischen Spiele lief unter falscher Flagge

    Olympic Destroyer: Hackerangriff auf die Olympischen Spiele lief unter falscher Flagge

    Der Angriff auf die IT-Infrastruktur der Olympischen Spiele in Pyeongchang war wohl nur eine Übung darin, anderen einen Cyberangriff in die Schuhe zu schieben. Das jedenfalls legen neue Erkenntnisse von Forschern nahe, die Zugang zu der Malware hatten.

  3. Malwarebytes-Bericht: Erpressungstrojaner jetzt mehr als zwei Drittel aller Malware

    Malwarebytes-Bericht: Erpressungstrojaner jetzt mehr als zwei Drittel aller Malware

    Angreifer im Netz verlegen sich zunehmend auf Ransomware und auch Mac-Malware wird häufiger – das ist die Bilanz des aktuellen Malwarebytes-Berichtes zu den aktuellen Taktiken und Techniken von Cyberkriminellen.

  4. ShadowPad: Spionage-Hintertür in Admintools für Unix- und Linux-Server aufgedeckt

    ShadowPad: Spionage-Hintertür in Admintools für Unix- und Linux-Server aufgedeckt

    Eine raffinierte Hintertür wurde von Angreifern per korrekt signiertem Update an die Netzwerk-Admin-Tools der koreanischen Firma NetSarang ausgeliefert. Es dauerte mehr als zwei Wochen, bis der Spionage-Trojaner im Netz eines Bankinstitutes aufflog.

  1. So sichern Sie Windows 10 gegen Erpresser-Trojaner ab

    Erpresser-Trojaner gehören zu den fiesesten Bedrohungen für PCs. Mit einigen Vorkehrungen können Sie sich gegen Lösegeldforderungen schützen.

  2. Nato nutzt Ransomware-Angriff

    Nato-Generalsekretär Stoltenberg fordert den Ausbau der Cyber-Verteidigung und erinnert, dass ein Cyberangriff Artikel 5 auslösen kann

  3. Ransomware: So entfernen Sie Verschlüsselungs-Trojaner

    Wenn Ihre Daten von einem Verschlüsselungs-Trojaner gekapert wurden, heißt es: Ruhe bewahren. Wir zeigen, was Sie gegen Ransomware tun können.

  1. Wiener Motorensymposium: Volkswagen hybridisiert den Golf VIII

    alternative Antriebe, Elektroautos

    Volkswagen elektrifiziert die Massen: Auf dem Wiener Motorensymposium konkretisieren die Wolfsburger Ingenieure, wie sie sich die flächendeckende Hybridisierung des Golfs vorstellen. Erstmals erwähnt Volkswagen offiziell den Golf VIII, der 2019 eingeführt werden soll

  2. 180-Euro-Smartphone Honor 7C nun auch in Deutschland

    Einsteiger-Smartphone Honor 7C kommt für 180 Euro nach Deutschland

    Das Honor 7C kann jetzt auch in Deutschland gekauft werden. Zum Marktstart kostet das Smartphone der Huawei-Tochter 180 Euro. Dafür bekommt man kompetente Hardware, die allen gängigen Anwendungen gewachsen sein sollte.

  3. Astronomen verblüfft über Megafusion großer Galaxien

    Astronomen verblüfft über Megafusion großer Galaxien

    Gleich zwei Mal haben Forscher gewaltige Galaxienhaufen aufgespürt – weit zurück im jungen Universum. Dass sie zu jener Zeit schon zu Haufen verschmolzen, lässt die Astronomen rätseln. Beeindruckend ist noch eine andere Eigenheit der Massemonster.

  4. Außenminister Maas und der politische Prozess zur Ablösung Baschar al-Assads

    Syrien: Wiederaufbauhilfen aus dem Westen, um das "Regime mit dem Monster" auszuhebeln? Das politische Interesse ist klar, der moralische Grund trüb

Anzeige