Ransomware „Bad Rabbit“ nutzt ebenfalls EternalBlue-Exploit

Kommentare von Tony Rowan und Patrice Puichaud von SentinelOne

[datensicherheit.de, 25.10.2017] „Der jüngste Ransomware-Ausbruch bestätigt wieder einmal, dass Angreifer alten Schadcode so lange wiederverwenden, wie sie damit erfolgreich sind“, kommentiert Tony Rowan, „Chief Security Consultant“ bei SentinelOne, die aktuelle Ransomware-Attacke mit „Bad Rabbit“.

Neue Ransomware nutzt wieder den „EternalBlue-Exploit“

Diese neue Variante habe offensichtlich immer noch Erfolg. Dies sei umso überraschender, als die Ransomware zur Verbreitung dabei wieder den „EternalBlue-Exploit“ nutze.
Rowan: „Viele Leute haben ihre Systeme trotz der vergangenen Vorfälle offensichtlich nicht gepatcht. Darüber hinaus verlassen sie sich weiterhin auf die alten AV-Produkte, die dieser Art von Malware aber nicht standhalten.“

„Bad Rabbit“-Code hat zu 13 Prozent Übereinstimmung mit dem von „Petya“

Patrice Puichaud, „Senior Director EMEA“ bei SentinelOne, ergänzt: „Wie unsere Analyse ergeben hat, ist ,Bad Rabbit‘ eine neue und unbekannte Ransomware, deren Code aber zu 13 Prozent mit dem ,Petya‘-Code übereinstimmt. Der Dropper wird dabei von Nutzern beim Besuch infizierter Websites heruntergeladen und erscheint als ,Flash Player‘-Installer“.
Einmal ausgeführt, verhalte sich „Bad Rabbit“ wie eine herkömmliche Ransomware, verschlüssele Dateien und verlange ein Lösegeld, um sie zu entschlüsseln. Darüber hinaus werde wie bei „Petya/NotPetya“ auch der Bootloader modifiziert.

65 Prozent der Opfer bisher in Russland

Die neue Ransomware habe es dabei besonders auf Russland und die Ukraine abgesehen: Laut ESET stammten 65 Prozent der Opfer aus Russland, 12,2 Prozent aus der Ukraine – und auch andere Länder in Osteuropa sowie die Türkei und Japan seien im Visier.
Da der Ursprung des Angriffs in Russland liege, dürfte „Bad Rabbit“ bis zum Erreichen der USA jedoch bekannt sein und sowohl von signaturbasierten Antivirenprogrammen als natürlich auch von Signatur-unabhängigen Lösungen erkannt werden.

Weitere Informationen zum Thema:

datensicherheit.de, 25.10.2017
Neue Ransomware grassiert: Bad Rabbit bringt Branche in Aufruhr

datensicherheit.de, 25.10.2017
Neue Ransomware-Kampagne: Bad Rabbit tarnt sich als Flash-Update

datensicherheit.de, 25.10.2017
Neue Ransomware grassiert: Bad Rabbit bringt Branche in Aufruhr

datensicherheit.de, 25.10.2017
Netzwerk-Überwachung: Unregelmäßige Muster bei Ransomware-Angriff