Seit der letzten Welle von Ransomware-Attacken durch NotPetya ist etwas Zeit vergangen. Doch jetzt taucht eine neue Form auf und richtet große Schäden an. Besonders in Russland und Osteuropa hat der Kryptotrojaner zugeschlagen und mehrere Unternehmen infiziert. Aber auch in Deutschland wurde er bereits gesichtet.

Bad Rabbit, benannt nach der Seite im Darknet, auf der Betroffene Ihre Zahlung tätigen sollen, verschlüsselt Daten und verlangt eine Gebühr von 0.05 Bitcoins um sie wieder freizugeben. Nach dem aktuellen Kurs der Kryptowährung sind das rund 240 Euro.

Kopfüber ins Kaninchenloch

Die Verbreitung des Kryptotrojaners geschieht hauptsächlich über kompromittierte Nachrichtenseiten. Durch diesen Watering-Hole-Angriff können die Angreifer gezielte Attacken auf bestimmte Benutzergruppen und Unternehmen ausüben. Gehen Benutzer auf eine infizierte Webseite wird automatisch ein Drive-by-Download angestoßen, der ein gefälschtes Adobe Flash-Update herunterlädt. Wird diese Datei ausgeführt, ist Bad Rabbit im System und die Daten sind nach dem erzwungenen Neustart verschlüsselt.

 

 

Bad Rabbit Trojaner

Zahlungsseite im TOR-Netzwerk

 

Zum Vergrößern auf die Abbildung klicken

 

 

Wie schon WannaCry und NotPetya, kann sich Bad Rabbit im Netzwerk verbreiten. Dafür verwendet die Malware aber nicht den EternalBlue Exploit, um Schwachstellen in der Version 1.0 des SMB-Protokolls auszunutzen, sondern infiziert andere Rechner über Windows Management Instrumentation (WMI). Um der Verteilung im lokalen Netzwerk vorzubeugen, ist es ratsam WMI auszuschalten, wenn es nicht gebraucht wird.

Hornetsecurity erkennt die Malware und schützt mit URL-Rewriting

Mit der URL-Rewriting-Engine der Advanced Threat Protection von Hornetsecurity wird Bad Rabbit auf kompromittierten Seiten erkannt und blockiert. So können Sie weiterhin verlinkte News-Seiten aus Ihren E-Mails aufrufen und sind vor einem Angriff sicher. Sollte sich die Ransomware doch noch über E-Mails weiterverbreiten, sind unsere Systeme vorbereitet und erkennen den Angriff sofort.

 

Unsere Empfehlungen

Um auf der sicheren Seite zu sein, ist es wichtig, regelmäßige Backups der Daten zu machen und keine unbekannten Dateien herunterzuladen oder auszuführen. Besonders Aktualisierungen von Adobe Flash sollten nur direkt vom Hersteller bezogen werden.

 

Im Falle einer Infizierung raten wir davon ab eine Zahlung an die Erpresser zu tätigen, denn ob sie den notwendigen Schlüssel herausgeben, um die Daten wieder nutzbar zu machen, ist nicht sicher.