Angriff des Verschlüsselungstrojaners Bad Rabbit

Angriff des Verschlüsselungstrojaners Bad Rabbit

Seit der letzten Welle von Ransomware-Attacken durch NotPetya ist etwas Zeit vergangen. Doch jetzt taucht eine neue Form auf und richtet große Schäden an. Besonders in Russland und Osteuropa hat der Kryptotrojaner zugeschlagen und mehrere Unternehmen infiziert. Aber auch in Deutschland wurde er bereits gesichtet.

Bad Rabbit, benannt nach der Seite im Darknet, auf der Betroffene Ihre Zahlung tätigen sollen, verschlüsselt Daten und verlangt eine Gebühr von 0.05 Bitcoins um sie wieder freizugeben. Nach dem aktuellen Kurs der Kryptowährung sind das rund 240 Euro.

Kopfüber ins Kaninchenloch

Die Verbreitung des Kryptotrojaners geschieht hauptsächlich über kompromittierte Nachrichtenseiten. Durch diesen Watering-Hole-Angriff können die Angreifer gezielte Attacken auf bestimmte Benutzergruppen und Unternehmen ausüben. Gehen Benutzer auf eine infizierte Webseite wird automatisch ein Drive-by-Download angestoßen, der ein gefälschtes Adobe Flash-Update herunterlädt. Wird diese Datei ausgeführt, ist Bad Rabbit im System und die Daten sind nach dem erzwungenen Neustart verschlüsselt.

 

 

Bad Rabbit Trojaner

Zahlungsseite im TOR-Netzwerk

 

Zum Vergrößern auf die Abbildung klicken

 

 

Wie schon WannaCry und NotPetya, kann sich Bad Rabbit im Netzwerk verbreiten. Dafür verwendet die Malware aber nicht den EternalBlue Exploit, um Schwachstellen in der Version 1.0 des SMB-Protokolls auszunutzen, sondern infiziert andere Rechner über Windows Management Instrumentation (WMI). Um der Verteilung im lokalen Netzwerk vorzubeugen, ist es ratsam WMI auszuschalten, wenn es nicht gebraucht wird.

Hornetsecurity erkennt die Malware und schützt mit URL-Rewriting

Mit der URL-Rewriting-Engine der Advanced Threat Protection von Hornetsecurity wird Bad Rabbit auf kompromittierten Seiten erkannt und blockiert. So können Sie weiterhin verlinkte News-Seiten aus Ihren E-Mails aufrufen und sind vor einem Angriff sicher. Sollte sich die Ransomware doch noch über E-Mails weiterverbreiten, sind unsere Systeme vorbereitet und erkennen den Angriff sofort.

 

Unsere Empfehlungen

Um auf der sicheren Seite zu sein, ist es wichtig, regelmäßige Backups der Daten zu machen und keine unbekannten Dateien herunterzuladen oder auszuführen. Besonders Aktualisierungen von Adobe Flash sollten nur direkt vom Hersteller bezogen werden.

 

Im Falle einer Infizierung raten wir davon ab eine Zahlung an die Erpresser zu tätigen, denn ob sie den notwendigen Schlüssel herausgeben, um die Daten wieder nutzbar zu machen, ist nicht sicher.

WannaCry nicht überall erfolgreich

WannaCry nicht überall erfolgreich

 

Hornetsecurity ATP wehrt globalen Ransomware-Angriff ab der ersten Schadmail ab

 

In über 150 Ländern verursachte WannaCry teils schwere Schäden: Bei der weltweit laufenden Angriffswelle, der unter anderem der englische NHS, der Autobauer Renault, aber auch einige Systeme der Deutschen Bahn zum Opfer fielen, nutzten die Angreifer gleich mehrere Schwachstellen aus. Hornetsecurity Advanced Threat Protection konnte die gefährliche Ransomware-Attacke allerdings von der ersten Schad-E-Mail an erkennen und unterbinden.

 

WannaCry ist eine Erpressersoftware, die per E-Mail in Umlauf kommt und darüber verbreitet wird. Ist sie auf einem lokalen Gerät aktiviert, verschlüsselt sie die dort befindlichen Dateien. Anschließend werden Benutzer dazu aufgefordert, eine Lösegeldzahlung zu leisten, um den Entschlüsselungscode zu erhalten, wovon Sicherheitsexperten jedoch abraten. Im Fall von WannaCry nutzt die Malware einen Exploit aus, der ursprünglich vom amerikanischen Geheimdienst NSA entwickelt wurde und den eine Hackergruppe namens „Shadow Broker“ entdeckte und veröffentlichte.

 

Diese Meldung erschien am Wochenende auf tausenden von Rechnern

Diese Meldung erschien am Wochenende auf Tausenden von Rechnern

Das Perfide an WannaCry ist, dass die Schadsoftware eine Schwachstelle in Microsofts „Server Message Block (SMB) Protocol“ ausnutzt, um sich wurmartig weiter zu verbreiten und etliche andere Computersysteme zu infizieren. Auf diese Weise erreichte WannaCry erst den sehr hohen, weltweiten Verbreitungsgrad. WannaCry setzt auf das veraltete Windows XP Betriebssystem, das immer noch häufig anzutreffen ist. Ursprünglich stellte Microsoft als Hersteller keine Sicherheitsupdates mehr für Windows XP bereit, änderte dies jedoch hastig, nachdem WannaCry einen solchen Erfolg aufweisen konnte.

 

Hornetsecurity Advanced Threat Protection (ATP) hat die neuartig auftretende Ransomware bereits beim ersten Auftreten durch dynamische Pattern Analysen in der Sandbox erkannt und unter Quarantäne gestellt. Weitere Analysen von WannaCry durch die Security-Spezialisten von Hornetsecurity ergaben, dass die Software eine DOUBLEPULSAR Backdoor Variante installiert, mit der sie schadhaften Code einschleust. Anschließend verschlüsselt das Programm die unterschiedlichsten Dateien und versieht diese mit der zusätzlichen Dateiendung “.wncry”, also zum Beispiel die Datei finanzen.xlsx in finanzen.xlsx.wncry. Die Dateien sind für den Benutzer damit unbrauchbar. Gleichzeitig werden Infizierte Hosts Teil eines Botnetzes, das aus dem TOR Netzwerk gesteuert wird.

 

Die Angriffs-E-Mail enthielt lediglich einen Dateianhang

Die Angriffs-E-Mail enthielt lediglich einen Dateianhang

Hornetsecurity empfiehlt die folgenden Maßnahmen, um sich vor einer Infektion zu schützen: Unternehmen und Personen, die noch das Betriebssystem Windows XP nutzen, sollten unbedingt den von Microsoft bereitgestellten Patch verwenden und das System aktualisieren. Besser noch ist ein Schwenk auf neuere Betriebssysteme mit aktiven Sicherheitsupdates (mindestens MS17-010). Zudem sollten Unternehmen ihre Firewall dahingehend anpassen, um den eingehenden SMB Traffic an Port 445 sowie den ausgehenden TOR Traffic im Unternehmensnetz zu blockieren. Generell raten die Sicherheitsexperten von Hornetsecurity, E-Mails mit Rechnungen genauestens zu überprüfen und und in solchen E-Mails verlinkte Office-, Skript- oder ausführbare Dateien (portable executable, PE) vor dem Öffnen mindestens mit dem Virusscanner zu überprüfen. Mit dem URL Rewriting und URL Scanning bietet Hornetsecurity ATP einen Service für die tiefgehende Analyse von URLs in E-Mails – als Rundumschutz vor neuartigen Gefahren.

LiveZilla Live Chat Software