30.10.2017 (Beate Herzog)
4 von 5, (2 Bewertungen)

Ransomware: BadRabbit schreckt Unternehmen auf

  • Inhalt dieses Artikels
  • Ransomware: BadRabbit schreckt Unternehmen auf
  • BadRabbit: Infizierungsmuster und technische Details
  • Backup ist gut – aktiver Schutz besser
  • Acronis Backup-Software erkennt BadRabbit
  • One Identity: Auf Backups achten & kein Lösegeld zahlen
  • Skybox Security: »Auf Cyber-Hygiene achten«
  • Vasco: »Erwarten Sie eine Welle der Zerstörung«

Die Ransomware-Attacke BadRabbit gibt Unternehmen 40 Stunden Zeit Lösegeld zu zahlen. Die Malware tarnt sich als falsches Flash-Update und infiziert größtenteils Windows-PCs. Wir fassen den aktuellen Stand zusammen und lassen verschiedene Hersteller zu Wort kommen.

 Ransomware-Attacke BadRabbit gibt Unternehmen 40 Stunden Zeit Lösegeld zu zahlen (Grafik: robote/SG).Ransomware-Attacke BadRabbit gibt Unternehmen 40 Stunden Zeit Lösegeld zu zahlen (Grafik: robote/SG).Die Ransomware-Attacken nehmen kein Ende, so scheint es zumindest für das Jahr 2017. Nach den großen Attacken von WannaCry und NoPetya treibt nun BadRabbit sein Unwesen. Bereits am 24. Oktober infizierte die Malware zahlreiche Server verschiedener Unternehmen in Russland und der Ukraine und legte diese lahm. Zu den betroffenen Firmen zählen unter anderem die Nachrichtenagenturen Interfax und Fontanka, die Metro in Kiew, das Ukrainische Ministerium für Infrastruktur und der Flughafen in Odessa. Mittlerweile wurden auch Systeme in Deutschland, der Türkei, Bulgarien, den USA und Japan befallen.

Der Code von BadRabbit enthielt Teile des NonPetya oder exPetr Codes, wurde aber stark verändert, obwohl das Verhalten und das Resultat der neuen Malware in etwa gleich ist. Die Ransomware nutzt nicht etwa neue Tricks oder Lücken aus, eher das Gegenteil ist der Fall: BadRabbit verlässt sich auf einen älteren Malware-Ansatz, indem es sich als falsches Adobe Flash-Update tarnt, dass vom Benutzer heruntergeladen und installiert werden muss. Die Schad-Software verschlüsselt die Daten und verlangt 0,05 Bitcoins, umgerechnet etwa 230 Euro, innerhalb der folgenden 40 Stunden. Erfolgt keine Zahlung, erhöht sich das Lösegeld.

Die Tatsache, dass dieser Trick immer noch funktioniert, zeigt, dass sich noch immer nicht genug im Sicherheitsbewusstsein mancher Unternehmen und IT-Teams getan hat. Es bedarf anscheinend noch immer einer besseren Aufklärung in Sachen Data Protection und Security. Ohne eine klare Strategie und entsprechende Lösungen wird man leichte Beute für die Cyber-Erpresser.

Schlüsselfakten zu BadRabbit im Überblick

  • Nutzt Teile des NonPety/ExPetr-Codes
  • Tarnt sich als Update-Download von Adobe Flash
  • Nutzt den Systemtreiber zur Verschlüsselung der Daten
  • Versucht, über das lokale Netzwerk andere Systeme zu infizieren, allerdings eher primitiv
  • Ersetzt den Master Boot Record und macht das System unbrauchbar
  • Infiziert Windows 10
  • Größtenteils Windows-Nutzer sind betroffen

BadRabbit: Infizierungsmuster und technische Details

Zunächst hackten die Cyber-Kriminellen populäre Medienwebseiten wie Interfax und brachten dort ihren falschen Adobe-Flash-Installer unter. Nutzer, die diese Webseiten besuchten, erhielten die Benachrichtigung, sich die aktuelle Version herunterzuladen. Viele Anwender taten das auch, obwohl viele Sicherheitsfirmen immer wieder darauf hinweisen, Updates beim Originalanbieter oder der entsprechenden Entwicklerwebseite zu beziehen. Ebenso sollten diese Updates aus zweiter Hand von Anti-Viren-Software geprüft werden. Diese Art der Infiltration über das Adobe-Upgrade war bereits vor einigen Jahren sehr populär und leider zieht diese Masche noch immer.

Die Ransomware wurde über »hxxp://1dnscontrol[.]com/flash_install.php« verteilt. Danach luden sich Anwender die Datei install_flash_player.exe herunter, wofür der jeweilige Nutzer die Administrationsrechte auf dem System benötigt. Dabei versucht die Malware die üblichen UAC-Prompts zu verwenden (Benutzerkontensteuerung). Läuft die Ransomware auf dem System, so speichert sie die schädliche DLL unter C:\Windows\infpub.dat und startet diese mittels rundll32.

Nachdem ein System infiziert ist, versucht BadRabbit, sich über das lokale Netzwerk zu verteilen. Genutzt werden dabei zwei Arten der Verschlüsselung: auf Datei- und auf Disk-Ebene. Die Software nutzt Microsoft Cryptographic Service Providers, um die Dateien zu verschlüsseln. Danach verschlüsselt es den MBR und startet den Computer neu, um dann die Erpressernachricht mit der Forderung nach Lösegeld anzuzeigen.

Die Zielgruppe dieser Attacke waren ausschließlich Firmen, so scheint es, und mittlerweile ist der aggressive Server inaktiv und die betroffenen Webseiten bereinigt. Trotzdem sollten Computernutzer, private wir unternehmerische, nicht einfach ausruhen, denn solche Attacken werden immer wieder passieren und jeden betreffen.

Backup ist gut – aktiver Schutz besser

Nach wie vor gilt, dass ein Backup zwar eine Ransomware-Attacke nicht abwehrt, aber zumindest den Schaden in Grenzen halten kann. Je aktueller das Backup desto besser. Lösegeld muss nicht gezahlt werden und die Daten sollten – je nach Recovery – auch zeitnah wiederhergestellt sein.

Schwieriger wird es, wenn eventuell auch Backup-Daten betroffen sind. Hier sind Lösungen gefragt, den Schadcore identifizieren und eliminieren.

White-Paper: So erkennen Sie Phishing-E-Mails
    Der Anfang allen Übels von gezielten Cyber-Attacken und Ransomware sind oftmals Phishing-E-Mails. Und die werden jüngst immer zielgerichteter und personalisierter. Deshalb hat speicherguide.de rund um Phishing-E-Mails ein kostenlos herunterladbares White-Paper zusammengestellt: »16 Tipps, dem E-Mail-Betrug zu entgehen«. Neben technischen Lösungen ist das White-Paper dazu da, vor allem den gesunden Menschenverstand zu schärfen. Denn ein Klick zuviel, und ein Megaschaden ist angerichtet.

Acronis Backup-Software erkennt BadRabbit

Wie Acronis meldet, erkennen die Backup-Programme Acronis True Image und Acronis Backup 12.5 (Standard und Advanced) den BadRabbit-Schadcode mittels Active Protection, blocken diesen ab und bewahren somit vor Schaden. Darüber hinaus sollte man sich an einige grundlegende Regeln halten:

  • Anti-Malware und Backup-Lösungen sollten installiert und funktionstüchtig sein.
  • Die Software sollte jeweils die nötigen Updates erfahren.
  • Update nur aus sicheren Quellen herunterladen.
  • Updates von (nicht-originären) Webseiten ablehnen.
  • Links in verdächtigen Mails nicht öffnen.

Ransomware wird uns weiterhin begleiten und die Angriffe werden sich nicht nur häufen, sondern sicher auch gezielter und bösartiger«, sagt Alexander Ivanyuk, Global Director bei Acronis. »Hier müssen Firmen wie Privatpersonen umdenken.« Ein »Das passiert mir schon nicht« sein ein Irrglaube, der spätestens seit diesem Jahr extrem teuer werden kann.

One Identity: Auf Backups achten & kein Lösegeld zahlen

Andrew Clarke, One IdentityAndrew Clarke, One IdentityAndrew Clarke, Strategic Business Alliances bei One Identity: »Der Winter naht. In der TV-Serie Game of Thrones schwingt in diesen Worten eine Warnung mit, verbunden mit der Aufforderung besonders wachsam zu sein. Das ist nicht so weit vom echten Leben entfernt wie man annehmen könnte. Unternehmen haben es da mit einem Game of Threat zu tun, bei dem es überlebenswichtig geworden ist, aufmerksam, wenn nicht sogar besonders wachsam zu sein. Ein Beispiel: BadRabbit.

Mit einer neuen verbesserten Variante, dem Win32/Diskcoder.D, einer modifizierten Version des Win32/Diskcoder.C, haben wir es jetzt bei BadRabbit zu tun. Die Source-Code-Analyse bezieht sich auf die Namen der drei Drachencharaktere in der eingangs erwähnten Serie, Drogon, Rhaegal und Viserion.

In der aktuellen Version sind die ursprünglichen Bugs bei der Dateiverschlüsselung behoben, benutzt wird jetzt DiskCryptor. Das ist eine legitime OpenSource-Software, die zur vollständigen Festplattenverschlüsselung benutzt wird. Die Schlüssel werden mittels CryptGenRandom generiert und mit einem festprogrammierten öffentlichen RSA-2048-Schlüssel geschützt. Und das Upgrade hat es offensichtlich in sich. Das bekamen bereits Organisationen in Russland, der Ukraine, Bulgarien und der Türkei zu spüren. Die Länder, die die Liste der Opfer anführen.

Trotz der industrieweiten Warnungen in Zusammenhang mit Petya und Not-Petya, verbreitet sich die aktuelle Variante seitwärts über SMB-Shares (SMB-Freigaben). Die Ausbreitung kann aber gestoppt werden, indem man diesen Kommunikationskanal schließt und die Ports137, 138, 139 und 445 der eingesetzten Firewalls blockiert.

Die Ausbreitung von BadRabbit zeigt, dass Unternehmen und Organisationen dieser Empfehlung offensichtlich nicht gefolgt sind. Und immer noch gilt zusätzlich der Rat, keine Lösegelder zu zahlen und umfassende Backups zu fahren. Immerhin lassen sich betroffene Systeme im Falle eines Falles dann größtenteils wiederherstellen. Alle aktuellen Patches zeitnah einzuspielen gehört ebenso zu den empfohlenen Best Practices wie die Kontrolle der administrativen Zugriffsberechtigungen im gesamten Netzwerk.«

Skybox Security: »Auf Cyber-Hygiene achten«

Dr. Christopher Brennan, Skybox SecurityDr. Christopher Brennan, Skybox SecurityDr. Christopher Brennan, Regional Director DACH bei Skybox Security, kommentiert die schnelle Ausbreitung von BadRabbit: »Obwohl BadRabbit-Erinnerungen an Petya/NotPetya und WannaCry zurückbringt, gibt es signifikante Unterschiede. BadRabbit nutzt Social-Engineering als Methode und keine Exploits wie zum Beispiel EternalBlue. Das bedeutet, dass gegen BadRabbit nicht gepatcht werden kann, sondern User vor der Ransomware gewarnt werden müssen. Jedoch sollten Unternehmen nicht nur warnen, sondern die befallenen Websites auf ihre Schwarze Liste setzen. Zudem zahlt sich hier, wie auch in allen anderen Fällen, eine gute Cyber-Hygiene aus: starke Passwörter verwenden, die Nutzung des SMB-Protokolls begrenzen und Administratorenrechte nur an die Nutzer verteilen, die sie auch wirklich brauchen.

So wie es aussieht, befällt BadRabbit nur Windows-Nutzer und die verschlüsselten Daten scheinen wiederherstellbar zu sein – deshalb handelt es sich wohl tatsächlich um eine reine Ransomware und nicht um einen Zerstörer.

Was bei BadRabbit beunruhigend ist, ist der Fakt, dass die Ransomware schon kritische Infrastrukturen in Kiew und Odessa angegriffen hat. Im Vergleich zu Petya/NotPetya und WannaCry sind die Auswirkungen noch relativ gering, aber BadRabbit ist das nächste Beispiel dafür, wie Cyberattacken grundlegende Systeme unseres modernen Lebens bedrohen. Wir wollen nicht, dass diese Art von Attacken zur Normalität werden, aber momentan ist das die Realität. Deshalb müssen besonders Unternehmen, die über kritische Infrastruktur verfügen oder diese verwalten, unbedingt die Sichtbarkeit ihrer IT- und Industrie-Netzwerke herstellen, um sie ordnungsgemäß segmentieren zu können. Zudem müssen sie verstehen, wo IT- und OT-Netzwerke zusammenlaufen und wie sich eine Attacke parallel durch diese Netzwerke bewegen kann.

Wer also noch reagieren kann und wessen Systeme noch nicht von BadRabbit befallen sind, sollte die Initiative ergreifen, die befallenen Websites sperren und die User vor der Ransomware warnen. Dann sollte es möglich sein, dass Bad Rabbit nicht weiter aus seinem Bau kommt.«

Vasco: »Erwarten Sie eine Welle der Zerstörung«

Christian Vezina, VascoChristian Vezina, VascoKommentar von Christian Vezina, Chief Information Security Officer bei VASCO: »Wenn BadRabbit annähernd vergleichbar mit NotPetya ist, dann sollten Anwender, Unternehmen und IT-Abteilungen vorbereitet sein und eine Welle der Zerstörung erwarten, nicht nur ein kleines Ärgernis. Da BadRabbit nach dem Verschlüsseln von Dateien den MBR (Master Boot Record) ersetzt, kann es viel länger dauern, bis die Daten wiederhergestellt werden. Wenn es etwas Gutes an der Malware gibt, dann ist es, dass sie sich über Social-Engineering-Taktiken ausbreitet. Man kann das Gefahrenpotential begrenzen, indem man die User darüber aufklärt, nicht einfach auf einen Link zu klicken, der ihnen angezeigt wird. Es ist ratsam, die Administratorenrechte an den Arbeitsplätzen der Mitarbeiter einzuschränken und sicherzustellen, dass die IT-Abteilung schnell Sicherheitsupdates vornimmt.«