Neuer Ransomware Ausbruch
Neue Ransomware-Welle Bad Rabbit trifft zuerst Osteuropa
Neue Erpressungswelle
Seit gestern breitet sich eine schnell anwachsende Ransomware-Welle aus, die in vielen osteuropäischen Ländern bereits Chaos ausgelöst hat. Von dem Angriff sind sowohl Regierungsbehörden als auch private Unternehmen in den Ländern, Russland, Ukraine, Bulgarien und Türkei, betroffen.
Zu den bestätigten Opfern gehören u.a. der Odessa-Flughafen in der Ukraine, das Kiewer U-Bahn-System in der Ukraine, das ukrainische Infrastrukturministerium und drei russische Nachrichtenagenturen, darunter Interfax und Fontanka. Die IT-Security Experten der Ukraine warnen bereits alle ukrainische Unternehmen vor dem neuen Ausbruch.
Die Geschwindigkeit, mit der sich Bad Rabbit verbreitete, ähnelt den WannaCry- und NotPetya-Ausbrüchen, die im Mai und Juni dieses Jahres aufgetreten sind.
Infektionswege
Der Ransomware-Dropper wird mit Hilfe von Drive-by Downloads verteilt. Während das Opfer eine legitime Website besucht, wird ein Malware-Dropper über die Infrastruktur des Angreifers heruntergeladen. Dabei werden keine Exploits verwendet, sodass das Opfer den Malware-Dropper manuell ausführen muss, der vorgibt, ein Adobe Flash-Installationsprogramm zu sein.
Neben den gefälschten Adobe-Flash Player Updates, dürfte die Malware aber auch über Tools verbreitet werden, die eine schnelle seitliche Verteilung im Netzwerk unterstützen. Dafür stände die sehr schnelle Verbreitung in mehreren Organisationen.
Laut den ersten Analysen der Forscher von ESET und Emisoft benutzt Bad Rabbit das Tool Mimikatz, um Anmeldeinformationen aus dem Speicher des lokalen Computers zu extrahieren. Zusammen mit einer Liste von hartcodierten Anmeldeinformationen wird dann versucht über SMB auf Server und Workstations im selben Netzwerk zuzugreifen.
Die Ransomware Bad Rabbit ähnelt sehr stark dem Vorgänger NotPetya und ist ein DiskCryptor, der zunächst die Daten auf der Festplatte des Opferrechners verschlüsselt und danach das MBR (Master Boot Record) ersetzt. Sobald Bad Rabbit seinen Job erledigt hat, startet er den PC des Benutzers neu, der in der benutzerdefinierten MBR-Lösegeldforderung stecken bleibt. Die Lösegeldforderung ist fast identisch mit der von NotPetya vom Juni.
Basierend auf der Lösegeldforderung fordert die Ransomware die Opfer auf, über eine Website im Tor-Netzwerk, eine Zahlung von 0,05 Bitcoin (etwa 280 US-Dollar) zu leisten. Dafür haben die Opfer 40 Stunden Zeit, ansonsten würde die Lösegeldforderung erhöht werden.
Der Bad Rabbit-Quellcode enthält auch verschiedene Game of Thrones-Referenzen mit Charaktere wie Grayworm. Außerdem ruft die Ransomware drei geplante Aufgaben namens Drogon, Rhaegal und Viserion auf, die Namen der drei Drachen von Game of Thrones. Dies ist nicht die erste Ransomware, die mit Game of Thrones-Referenzen geliefert wird. Eines der Skripts, die in Lockys Vertriebskampagne verwendet wurden, enthielt ähnliche Referenzen.
Viele Analysen zu dem neuen Ausbruch sind noch im Gange. Erste Erkenntnisse dazu finden Sie beispielsweise hier .
