[datensicherheit.de, 25.10.2017] „Der jüngste Ransomware-Ausbruch bestätigt wieder einmal, dass Angreifer alten Schadcode so lange wiederverwenden, wie sie damit erfolgreich sind“, kommentiert Tony Rowan, „Chief Security Consultant“ bei SentinelOne, die aktuelle Ransomware-Attacke mit „Bad Rabbit“.

Neue Ransomware nutzt wieder den „EternalBlue-Exploit“

Diese neue Variante habe offensichtlich immer noch Erfolg. Dies sei umso überraschender, als die Ransomware zur Verbreitung dabei wieder den „EternalBlue-Exploit“ nutze.
Rowan: „Viele Leute haben ihre Systeme trotz der vergangenen Vorfälle offensichtlich nicht gepatcht. Darüber hinaus verlassen sie sich weiterhin auf die alten AV-Produkte, die dieser Art von Malware aber nicht standhalten.“

„Bad Rabbit“-Code hat zu 13 Prozent Übereinstimmung mit dem von „Petya“

Patrice Puichaud, „Senior Director EMEA“ bei SentinelOne, ergänzt: „Wie unsere Analyse ergeben hat, ist ,Bad Rabbit‘ eine neue und unbekannte Ransomware, deren Code aber zu 13 Prozent mit dem ,Petya‘-Code übereinstimmt. Der Dropper wird dabei von Nutzern beim Besuch infizierter Websites heruntergeladen und erscheint als ,Flash Player‘-Installer“.
Einmal ausgeführt, verhalte sich „Bad Rabbit“ wie eine herkömmliche Ransomware, verschlüssele Dateien und verlange ein Lösegeld, um sie zu entschlüsseln. Darüber hinaus werde wie bei „Petya/NotPetya“ auch der Bootloader modifiziert.

65 Prozent der Opfer bisher in Russland

Die neue Ransomware habe es dabei besonders auf Russland und die Ukraine abgesehen: Laut ESET stammten 65 Prozent der Opfer aus Russland, 12,2 Prozent aus der Ukraine – und auch andere Länder in Osteuropa sowie die Türkei und Japan seien im Visier.
Da der Ursprung des Angriffs in Russland liege, dürfte „Bad Rabbit“ bis zum Erreichen der USA jedoch bekannt sein und sowohl von signaturbasierten Antivirenprogrammen als natürlich auch von Signatur-unabhängigen Lösungen erkannt werden.

Weitere Informationen zum Thema:

datensicherheit.de, 25.10.2017
Neue Ransomware grassiert: Bad Rabbit bringt Branche in Aufruhr

datensicherheit.de, 25.10.2017
Neue Ransomware-Kampagne: Bad Rabbit tarnt sich als Flash-Update

datensicherheit.de, 25.10.2017
Neue Ransomware grassiert: Bad Rabbit bringt Branche in Aufruhr

datensicherheit.de, 25.10.2017
Netzwerk-Überwachung: Unregelmäßige Muster bei Ransomware-Angriff

[datensicherheit.de, 25.10.2017] „Um gegen Wellen von Schadsoftware gewappnet zu sein, sollten Unternehmen die Aktivitäten ihrer gesamten IT-Infrastruktur überwachen. So kennen sie dann den Normalzustand und es lassen sich schnell unregelmäßige Muster, die auf böswillige Akteure hindeuten, erkennen“, rät Matthias Maier, „Security Evangelist“ bei Splunk.

IT-Sicherheitsteams sind jetzt herausgefordert

Da immer mehr Details minütlich über Bad Rabbit online bekannt würden, sollten Firmen genau beobachten, welche Einschätzungen Sicherheitsexperten weltweit zur aktuellen Bedrohungslage abgeben.
Es gehe darum zu verstehen, was die Infektionsvektoren sind, wie die Ransomware funktioniert und welche Schwachstellen es der Schadsoftware erlauben, sich in einem Netzwerk schnell auszubreiten, so Maier.
Sicherheitsteams müssten in der Lage sein, zu analysieren, ob ihre Umgebung potenziell gefährdet ist, ob sie erste Anzeichen einer Infektion sehen und sie angemessen sowie schnell darauf reagieren können.

Nach speziellen Mustern in überwachten Protokolldaten suchen!

„Bad Rabbit“ scheine beispielsweise drei neue „Geplante Tasks“ auf einem System zu erstellen, einschließlich eines erzwungenen Neustarts.
Wenn die IT-Sicherheit nach diesen speziellen Mustern in überwachten Protokolldaten von Systemen sucht, könne sie die Erstinfektion früher ausmachen. Maier: „Das hilft, um die Auswirkungen zu minimieren und einen Ausbruch komplett zu verhindern.“

Robuste Sicherheitsstrategie als Wettbewerbsvorteil!

Die aktuelle Bedrohung durch „Bad Rabbit“ zeige einmal mehr, wie wichtig es für Unternehmen im Digitalen Zeitalter sei, ein erfahrenes Sicherheitsteam bereitstehen zu haben sowie die geeigneten Technologien zur Verfügung zu stellen, um auf relevante Informationen schnell und umfassend zugreifen zu können.
„Erst dadurch lassen sich die richtigen Entscheidungen zügig treffen, um Auswirkungen auf den Geschäftsbetrieb zu minimieren“, so Maier. Vor diesem Hintergrund zahle sich eine „robuste Sicherheitsstrategie als Wettbewerbsvorteil“ aus.

Weitere Informationen zum Thema:

datensicherheit.de, 25.10.2017
Neue Ransomware-Kampagne: Bad Rabbit tarnt sich als Flash-Update

datensicherheit.de, 25.10.2017
Neue Ransomware grassiert: Bad Rabbit bringt Branche in Aufruhr

[datensicherheit.de, 25.10.2017] Fast vier Monate nach der letzten großen Ransomware-Welle verbreitet sich offensichtlich derzeit eine neue Variante von „Petya“ mit dem Namen „Bad Rabbit“. Infektionen sollen neben Russland und der Ukraine auch schon aus Deutschland und der Türkei gemeldet worden sein. Nach Erstinfektion mit „Bad Rabbit“ verbreite sich die Payload der Ransomware wie schon bei den Vorgängern aus eigenem Antrieb innerhalb des Unternehmensnetzwerks, weshalb diese Malware als hochansteckend gilt.

Gefälschtes Icon eines „Adobe Flash Player“-Downloads

Seinen Ausgangspunkt habe diese neue Infektionswelle bei den beiden russischen Nachrichtenagenturen Fontanka und Interfax genommen. Von dort aus erfolge ein Redirekt zu einer weiteren infizierten Seite, welche die ausführbare Payload der Ransomware enthalte.
In dem von der „Zscaler Cloud Sandbox“ erkannten Payload handele es sich unter anderem um ein gefälschtes Icon eines „Adobe Flash Player“-Downloads.

Nach erfolgter Infektion automatischer Neustart des befallenen Systems

Nach der erfolgten Infektion starte sich das befallene System neu – und der Anwender werde durch den folgenden Ransom-Bildschirm mit der Erpressungsforderung konfrontiert:
Dessen Anzeige weise darauf hin, dass die Daten verschlüsselt worden seien und nicht mehr zur Verfügung stünden. Um weitere Anweisung zur Zahlung der Erpressungssumme zu erhalten, werde nach der Eingabe des persönlichen Installations-Keys verlangt.

Weitere Informationen zum Thema:

datensicherheit.de, 25.10.2017
Neue Ransomware-Kampagne: Bad Rabbit tarnt sich als Flash-Update

datensicherheit.de, 25.10.2017
Neue Ransomware grassiert: Bad Rabbit bringt Branche in Aufruhr

[datensicherheit.de, 25.10.2017] Die „Unit 42“, das Malware-Analyseteam von Palo Alto Networks, meldet die Enttarnung eines gefälschten „Adobe Flash“-Updates als Ransomware. Diese Erpressersoftware agiere ähnlich wie die vielbeachtete Kampagne „Petya/NotPetya“, bei der vor wenigen Monaten Cyber-Kriminelle komplette Festplatten verschlüsselt hatten. Bisher sei jedoch kein Fall bekannt geworden, bei dem nach dem Bezahlen des Lösegelds die Daten tatsächlich wieder freigegeben wurden.

Bereits mehrere Länder in Europa betroffen

Die aktuelle Ransomware-Kampagne „Bad Rabbit“ betreffe aktuell mehrere Länder in Europa.
Auch wenn diese Ransomware noch nicht so weit verbreitet sei wie vorab „Petya/NotPetya“, so habe sie bereits Schäden angerichtet: In der Ukraine habe beispielsweise das CERT (Computer Emergency Response Team) schon eine offizielle Warnung veröffentlicht.

Infizierte Website als Ransomware-Quelle ermittelt

Die Angriffe mit dieser Ransomware scheinen laut Palo Alto Networks „nicht zielgerichtet“ zu sein, sondern richteten sich an eine wohl eher zufällig ausgewählte Gruppe von Opfern.
Diese würden durch ein gefälschtes „Adobe Flash“-Update auf eine infizierte Website geleitet. Sobald „Bad Rabbit“ dann auf den Rechner gelangt, versuche sich die Ransomware auf weitere Systeme innerhalb des jeweiligen Netzwerks auszubreiten.

„Flash“-Updates immer nur direkt von echten Adobe-Website herunterladen!

Auch wenn sich „Bad Rabbit“ von „Petya/NotPetya“ unterscheide, so sei die Attacke nicht zu unterschätzen:
Da der Angriff mit einem „falschen“ Update von „Adobe Flash“ beginne, rät Palo Alto Networks den Nutzern dringend, „Flash“-Updates nur direkt von der echten Adobe-Website herunterzuladen.

Weitere Informationen zum Thema:

datensicherheit.de, 25.10.2017
Neue Ransomware grassiert: Bad Rabbit bringt Branche in Aufruhr

paloalto NETWORKS, 24.10.2017
Palo Alto Networks Protections Against Bad Rabbit Ransomware Attacks

[datensicherheit.de, 25.10.2017] Branchenvertreter auf dem Gebiet der IT-Sicherheit warnen in aktuellen Stellungnahmen, dass auch Deutschland erneut das Ziel einer Cyber-Attacke werden könnte. So befürchtet ESET globale Attacken auf Unternehmen und Infrastruktureinrichtungen.

Zunächst Angriffe aus Russland und der Urkaine gemeldet

Bisher sollen unter anderem eine russische Nachrichtenagentur, der Flughafen in Odessa, das U-Bahn-Netz in Kiew, sowie das ukrainische Ministerium für Infrastruktur und Finanzen zu den Betroffenen gehören.
Die IT-Security-Experten von ESET verzeichnen nach eigenen Angaben seit dem 24. Oktober 2017 eine weltweite Ausweitung dieser Cyber-Attacken. Auch deutsche Unternehmen könnten nun zur Zielscheibe werden.

Von einer globalen Ausbreitung ist auszugehen

Die russische Nachrichtenagentur Interfax soll am u.a. Opfer des Kryptotrojaners namens „Bad Rabbit“ geworden sein. Neben der Ukraine und Russland seien bereits Computersysteme in der Türkei und Bulgarien betroffen.
„Wir sind uns sicher, dass auch Deutschland im Zuge des laufenden Cyber-Angriffs zur Zielscheibe wird. Auch bei den vergangenen Ransomware-Angriffen gerieten deutsche Unternehmen und Infrastrukturanbieter ins Fadenkreuz der Täter“, so ESET-Sprecher Thorsten Urbanski.

„Watering Hole“-Angriff: Verbreitung per Drive-by-Infektion

ESET hat nach eigenen Angaben den Angriff mit der als „Bad Rabbit“ (auch „Diskcoder.D“) bezeichneten Ransomware in der Ukraine als erstes Security-Unternehmen entdeckt und die Schadsoftware bereits am gestrigen Tag analysiert:
Der Angriff sei über einen sogenannten „Watering Hole“-Angriff per Drive-by-Infektion erfolgt. Hierbei würden populäre Webseiten, die von der Zielgruppe in der Regel häufig besucht werden, mit Schadcode präpariert. Für eine Infektion sei der reine Besuch der Webseite ausreichend – das Herunterladen und Öffnen einer Datei sei dafür nicht notwendig.

Ausbreitung mit globalem Schadenspotenzial

„Bad Rabbit“ habe nach ersten Analysen ebenfalls das Potenzial, global großen Schaden anzurichten.
ESET rät Betroffenen, das geforderte Lösegeld generell nicht zu bezahlen: „Es besteht keine Garantie, dass Nutzer nach erfolgter Lösegeldzahlung auch wirklich ihre Daten zurück bekommen“, so Urbanski. Mit Zahlung des Lösegelds würden zudem die Cybercrime-Strukturen für kommende Angriffe mitfinanziert.