Bad Rabbit Ransomware-Angriffe unterstreichen Risiko der Ausbreitung von Malware-Ausbrüchen

Erstellt von am in Articles

Am Dienstagmorgen, den 24. Oktober 2017, meldeten Organisationen in Russland und der Ukraine, dass sie von einem Ransomware-Ausbruch betroffen waren, der ihren Betrieb lahmlegte. Sporadische Fälle wurden auch in der Türkei, Deutschland, Bulgarien und Japan gemeldet, wie aus verschiedenen Quellen verlautete.

Die Malware mit dem Namen Bad Rabbit ist ein Ransomware-Code, der Dateien auf Endgeräten verschlüsselt und sperrt und dann eine Zahlung für deren Freigabe verlangt. Bad Rabbit ist auch der Name einer Dark-Web-Site, auf der die Opfer aufgefordert werden, für die Freigabe ihrer Dateien zu zahlen.

Zum Zeitpunkt der Erstellung dieses Berichts wird davon ausgegangen, dass Bad Rabbit vor allem Organisationen in Russland befallen hat. Genauer gesagt bricht es bei Medienunternehmen im Land aus. In Erklärungen einiger betroffener Unternehmen wurde berichtet, dass die Server aufgrund des laufenden Angriffs ausgefallen sind.

In der Ukraine hat der Angriff kritische Infrastrukturorganisationen im Transportsektor getroffen. Eines der Opfer ist der Flughafen von Odessa, der sich in der drittgrößten Stadt des Landes befindet, was zu Flugverspätungen aufgrund der manuellen Verarbeitung von Passagierdaten führte. Auch das ukrainische U-Bahn-System war betroffen, was zu Zahlungsverzögerungen an Kundendienstterminals führte, obwohl die Züge weiterhin normal fuhren.

Bad Rabbit ist der dritte störende Ransomware-Ausbruch in diesem Jahr, nach den Würmern WannaCry und NotPetya, die im zweiten Quartal 2017 zahlreiche Unternehmen betroffen haben. Allerdings basiert die Verbreitungsmethode von Bad Rabbit nicht auf denselben Exploits, was die Eindämmung insgesamt erleichtern könnte.

Laden Sie den Ransomware Response Guide von IBM INCIDENT RESPONSE SERVICES herunter

Die Verbreitung von Bad Rabbit

Nach den derzeit verfügbaren Informationen verbreitet sich Bad Rabbit im Gegensatz zu den meisten finanziell motivierten Ransomware nicht per E-Mail. Nach Angaben von IBM X-Force, das Milliarden von Spam- und Malspam-Nachrichten analysiert, wurde Bad Rabbit nicht im Rahmen einer E-Mail-Kampagne verschickt. Einige Stimmen in der Sicherheits-Community gehen davon aus, dass es sich bei dem Ausbruch um einen gezielten Angriff handelt, der möglicherweise schon seit Monaten vorbereitet wurde, aber das muss noch bestätigt werden.

Um die Endpunkte der Benutzer zu erreichen, haben die Betreiber von Bad Rabbit Nachrichten- und Medienseiten kompromittiert, um die Besucher auf bösartige Landing Pages umzuleiten, die sie kontrollieren. Auf diesen Seiten wurde den Nutzern empfohlen, ein Adobe Flash-Update zu installieren, woraufhin ein bösartiger Download stattfand, der den Malware-Dropper in einem so genannten Drive-by-Angriff bereitstellte, bei dem keine Aktion erforderlich war, um eine Datei auf dem Endpunkt abzulegen.

Wer die Datei ausführte, setzte unwissentlich die Malware auf seinen Endpunkten frei und sah, wie seine Dateien verschlüsselt wurden. In der Notiz der Malware-Betreiber wird ein Lösegeld von 0,05 BTC gefordert, um die Dateien zu entsperren.

Nach Informationen aus der Sicherheits-Community wurden die für die Verbreitung der Malware verwendeten Websites auf denselben Servern gehostet, die auch für die Verbreitung der NotPetya-Malware im Juni 2017 verwendet wurden. Dieses Netzwerk vorbestimmter Websites wurde offenbar im Laufe der Zeit seit Juli 2017 aufgebaut.

Ein Sicherheitsanbieter berichtete, dass alle Unternehmen etwa zur gleichen Zeit infiziert wurden. Dieser Anbieter spekulierte, dass sich die Angreifer bereits in einigen Systemen der Opfer befinden könnten. Wären die Angreifer in diesem Fall nicht in der Lage, die Malware direkt zu starten?

Diese Frage wirft eine weitere Möglichkeit auf: Ist es möglich, dass mindestens eine gezielte E-Mail an jedes Opfer gesendet wurde, die einen Köder enthielt, um sie zu einer der infizierten Medienseiten im Stil eines Wasserlochs zu locken? Sobald es einen infizierten Benutzer gab, könnte sich die Malware von Patient Null aus weiter ausgebreitet haben.

Moving Through Networks

Bad Rabbit verbreitet sich über Netzwerke, indem es einige Tools verwendet, die ihm dabei helfen, zu weiteren Endpunkten zu gelangen. Laut IBM X-Force nutzt die Malware eine SMB-Funktion von Windows, die jedoch nichts mit der Methode zu tun hat, die zuvor von dem EternalBlue-Exploit verwendet wurde. Unsere Forscher beobachten auch, dass die Malware HTTP-OPTIONS-Anfragen an Port 80 für /admin$ ausgibt, was auf die Verwendung von WebDAV als Teil des Schemas hindeutet.

Außerdem scheint Bad Rabbit das Mimikatz-Tool zu nutzen – das als Test-Tool und nicht für bösartige Zwecke entwickelt wurde, aber dennoch häufig von Angreifern verwendet wird -, um die Kennwörter anderer Benutzer im Netzwerk abzurufen. Die Malware enthielt auch einige fest kodierte Passwörter. Seltsamerweise waren dies laut dem Film „Hackers“ von 1995 die am häufigsten verwendeten Passwörter.

Zahlungsforderung

Bad Rabbit verlangt 0,05 BTC Lösegeld, um die Sperre der verschlüsselten Dateien aufzuheben. Zum Zeitpunkt der Erstellung dieses Artikels entspricht 1 BTC etwa 5.450 US-Dollar, was bedeutet, dass die anfängliche Lösegeldforderung etwa 273 US-Dollar beträgt. Die Lösegeldforderung erscheint auf dem Bildschirm des infizierten Endpunkts und weist den Benutzer an, auf einen speziellen Webdienst zuzugreifen.

Auf der Website des Angreifers, die im Tor-Netzwerk gehostet wird, um die Kommunikation zu anonymisieren, wird das Opfer gewarnt, dass es nur etwa 41 Stunden Zeit hat, um zu zahlen. Dann wird dem Opfer eine Countdown-Uhr angezeigt, die auf ein „Passwort“ wartet – den Entschlüsselungsschlüssel zum Entsperren seiner Dateien. Zum Zeitpunkt dieser Meldung wurde noch nicht bestätigt, dass die Angreifer die Dateien tatsächlich entschlüsseln können.

Eine fortlaufende Situation

Die Bad Rabbit-Angriffe entwickeln sich weiter, da die Sicherheitsanbieter mehr Informationen veröffentlichen und die Unternehmen mehr lernen und die Angriffe eindämmen. Wenn Sie IBM-Kunde sind, finden Sie auf X-Force Exchange eine spezielle Seite zur Reaktion auf die Bad Rabbit-Angriffe mit IBM-Sicherheitsprodukten. Für technische Updates direkt von IBM Security’s X-Force Research greifen Sie bitte auf unsere X-Force Exchange-Sammlung zu, wo unsere Forschungs- und Incident-Response-Teams Informationen zur Verfügung stellen werden, während sich die Situation weiterentwickelt.

Alle Unternehmen werden dringend gebeten, ihre Mitarbeiter über den Ausbruch zu informieren, den Infektionsfluss zu erklären und in den kommenden Stunden und Tagen äußerst wachsam gegenüber Bad Rabbit zu sein.

Bad Rabbit hat zum Zeitpunkt dieser Veröffentlichung keine Unternehmen in den USA betroffen, obwohl ein Antiviren-Anbieter angibt, dass seine Telemetrie einige Infektionen in den USA anzeigt. Sollte es dennoch Anzeichen für eine Infektion geben, informieren Sie bitte das Internet Crime Complaint Center (IC3) des FBI, sobald Sie diese entdecken.

Außerhalb der USA,

Wenn Sie glauben, dass Ihr Unternehmen betroffen ist und Sie Unterstützung benötigen, rufen Sie bitte Ihre IBM X-Force 24×7 Incident Response Hotline an:

IRIS EMEA 24×7 Hotline

UAE: (+971) 800 044 424 17

IRIS North America 24×7 Hotline

USA: (+1) 888 241 9812

Dänemark: (+45) 4331 4987

Finnland: (+358) 9725 22099

Lettland: (+371) 6616 3849

Norwegen: (+47) 2302 4798

Saudi-Arabien: (+966) 800 844 3872

Saudi-Arabien: (+966) 800 850 0399

Schweden: (+46) 8502 52313

GROSSBRITANNIEN: (+44) 20 3684 4872

Zahlen Sie nicht an Ransomware-Angreifer

Nach einer IBM-Umfrage gaben 70 Prozent der Unternehmen, die bereits von Ransomware betroffen waren, an, dass sie das Lösegeld zur Wiederherstellung von Unternehmensdaten gezahlt haben. Davon haben 50 Prozent mehr als 10.000 Dollar und 20 Prozent mehr als 40.000 Dollar gezahlt. Es ist wichtig zu beachten, dass die Bezahlung der Angreifer keine Garantie für die Wiederherstellung des Zugangs ist.

Organisationen und Einzelpersonen, die von Bad Rabbit betroffen sind, wird davon abgeraten, die Angreifer zu bezahlen. Zum Zeitpunkt der Erstellung dieses Artikels haben Antiviren-Hersteller Signaturen und einige Entschlüsselungsoptionen veröffentlicht, die dabei helfen können, verschlüsselte Dateien zu entschlüsseln.

Der Angriff wurde höchstwahrscheinlich eher zum Zweck der Störung als des finanziellen Gewinns durchgeführt. In den kommenden Stunden werden weitere Hinweise zur Eindämmung des Angriffs und zur Abdeckung durch IBM-Produkte zur Verfügung gestellt.

Für allgemeine Hinweise zum Schutz Ihrer Systeme vor Ransomware lesen Sie bitte unseren Ransomware Response Guide.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.