Cyber-Erpresser auf dem Vormarsch: Neue Ransomware „Bad Rabbit“ aufgetaucht
©
Bad Rabbit heißt der neue Verschlüsselungstrojaner, der Dateien und Systeme verschlüsselt und ein Lösegeld in Höhe von 0,05 Bitcoins, d.h. ca. 236 Euro, von den Opfern verlangt. Erste Untersuchungen haben dabei ergeben, dass der Trojaner aus technischer Sicht nicht besonders bemerkenswert ist, vor allem da er keinen neuen Angriffs-Vektor nutzt.
„Wie unsere Analyse ergeben hat, ist Bad Rabbit eine neue und unbekannte Ransomware, deren Code aber zu 13 Prozent mit dem Petya-Code übereinstimmt“, erklärt Patrice Puichaud, EMEA Direktor beim Sicherheitsanbieter SentinelOne. „Der Dropper wird dabei von Nutzern beim Besuch infizierter Websites heruntergeladen und erscheint als Flash Player-Installer. Einmal ausgeführt, verhält sich Bad Rabbit wie eine herkömmliche Ransomware, verschlüsselt Dateien und verlangt ein Lösegeld, um sie zu entschlüsseln. Darüber hinaus wird wie bei Petya/NotPetya auch der Bootloader modifiziert.“
Dass Cyberkriminelle mit Krypto-Trojanern wie Bad Rabbit bei ihren Opfern immer noch ans Ziel kommen, liegt also nicht an der Raffiniertheit der Angreifer oder besonders hochentwickelten Schadcodes, sondern vor allem am Sicherheitsbewusstsein von Unternehmen, ihren Sicherheitstechnologien und der Bereitschaft, Patches schnell und gewissenhaft einzuspielen. Da der Bad Rabbit-Code nicht wirklich neu ist, wären viele Unternehmen mit einfachen Vorkehrungen eigentlich relativ sicher gewesen, erklärt auch SentinelOne´s Chief Security Consultant Tony Rowan: „Der jüngste Ransomware-Ausbruch bestätigt wieder einmal, dass Angreifer alten Schadcode so lange wiederverwenden, wie sie damit erfolgreich sind. Und diese neue Variante hat offensichtlich immer noch Erfolg. Dies ist umso überraschender, als die Ransomware zur Verbreitung dabei wieder den EternalBlue-Exploit nutzt. Viele Leute haben ihre Systeme trotz der vergangenen Vorfälle offensichtlich nicht gepatcht. Darüber hinaus verlassen sie sich weiterhin auf die alten AV-Produkte, die dieser Art von Malware aber nicht standhalten."
Wie verschiedene Quellen angeben, hat es Bad Rabbit dabei besonders auf Unternehmen in Russland und der Ukraine abgesehen. So sind etwa die russische Nachrichtenagentur Interfax und der ukrainische Flughafen in Odessa betroffen. 65 Prozent der Opfer stammen demnach aus Russland, 12,2 Prozent aus der Ukraine und auch Länder in Osteuropa, der Türkei und Japan waren im Visier. In wieweit auch Deutschland von der Ransomware-Welle betroffen bzw. gefährdet ist, ist jedoch unklar. Einige Sicherheitsexperten gaben an, dass bereits einige deutsche Unternehmen mit dem Verschlüsselungstrojaner zu kämpfen haben. Genaue Informationen oder Zahlen liegen aber nicht vor.
„Wie unsere Analyse ergeben hat, ist Bad Rabbit eine neue und unbekannte Ransomware, deren Code aber zu 13 Prozent mit dem Petya-Code übereinstimmt“, erklärt Patrice Puichaud, EMEA Direktor beim Sicherheitsanbieter SentinelOne. „Der Dropper wird dabei von Nutzern beim Besuch infizierter Websites heruntergeladen und erscheint als Flash Player-Installer. Einmal ausgeführt, verhält sich Bad Rabbit wie eine herkömmliche Ransomware, verschlüsselt Dateien und verlangt ein Lösegeld, um sie zu entschlüsseln. Darüber hinaus wird wie bei Petya/NotPetya auch der Bootloader modifiziert.“
Dass Cyberkriminelle mit Krypto-Trojanern wie Bad Rabbit bei ihren Opfern immer noch ans Ziel kommen, liegt also nicht an der Raffiniertheit der Angreifer oder besonders hochentwickelten Schadcodes, sondern vor allem am Sicherheitsbewusstsein von Unternehmen, ihren Sicherheitstechnologien und der Bereitschaft, Patches schnell und gewissenhaft einzuspielen. Da der Bad Rabbit-Code nicht wirklich neu ist, wären viele Unternehmen mit einfachen Vorkehrungen eigentlich relativ sicher gewesen, erklärt auch SentinelOne´s Chief Security Consultant Tony Rowan: „Der jüngste Ransomware-Ausbruch bestätigt wieder einmal, dass Angreifer alten Schadcode so lange wiederverwenden, wie sie damit erfolgreich sind. Und diese neue Variante hat offensichtlich immer noch Erfolg. Dies ist umso überraschender, als die Ransomware zur Verbreitung dabei wieder den EternalBlue-Exploit nutzt. Viele Leute haben ihre Systeme trotz der vergangenen Vorfälle offensichtlich nicht gepatcht. Darüber hinaus verlassen sie sich weiterhin auf die alten AV-Produkte, die dieser Art von Malware aber nicht standhalten."
Wie verschiedene Quellen angeben, hat es Bad Rabbit dabei besonders auf Unternehmen in Russland und der Ukraine abgesehen. So sind etwa die russische Nachrichtenagentur Interfax und der ukrainische Flughafen in Odessa betroffen. 65 Prozent der Opfer stammen demnach aus Russland, 12,2 Prozent aus der Ukraine und auch Länder in Osteuropa, der Türkei und Japan waren im Visier. In wieweit auch Deutschland von der Ransomware-Welle betroffen bzw. gefährdet ist, ist jedoch unklar. Einige Sicherheitsexperten gaben an, dass bereits einige deutsche Unternehmen mit dem Verschlüsselungstrojaner zu kämpfen haben. Genaue Informationen oder Zahlen liegen aber nicht vor.