Bad Rabbit Ransomware

Bad Rabbit tauchte erstmals im Oktober 2017 auf und griff Organisationen in Russland, der Ukraine und den USA mit einem Angriff an, der im Grunde eine neue und verbesserte NotPetya-Ransomware ist. Die ukrainischen Behörden führen Bad Rabbit auf Black Energy zurück, die Bedrohungsgruppe, die sie auch hinter NotPetya vermuten. Viele Sicherheitsexperten glauben, dass Black Energy im Interesse und unter der Leitung der russischen Regierung operiert. Der Angriff dauerte nicht lange, was darauf hindeutet, dass die Kontrolleure ihn selbst beendet haben.

Der Angriff begann über Dateien auf gehackten russischen Medien-Websites, wobei der beliebte Social-Engineering-Trick angewandt wurde, sich als Adobe Flash-Installationsprogramm auszugeben. Die Ransomware verlangt eine Zahlung von 0,05 Bitcoin, also etwa 275 US-Dollar, und gibt den Opfern 40 Stunden Zeit, um zu zahlen, bevor das Lösegeld steigt.

Dies ist im Grunde NotPetya v2.0, mit erheblichen Verbesserungen gegenüber der früheren Version. Bad Rabbit weist viele Überschneidungen mit dem Code von Petya/NotPetya auf, so dass wir mit hoher Sicherheit davon ausgehen können, dass hinter dem Angriff dieselben Autoren stehen. Sie haben auch versucht, ihre bösartige Nutzlast aus gestohlenen Elementen zusammenzustellen, allerdings wurde der gestohlene Petya-Kernel durch einen fortschrittlicheren Festplatten-Crypter in Form eines legitimen Treibers ersetzt.

In dieser aktuellen Kampagne scheinen die verschlüsselten Daten nach Zahlung des Lösegelds wiederherstellbar zu sein, was bedeutet, dass dieser BadRabbit-Angriff nicht so zerstörerisch ist wie NotPetya. Es wurden viele Fehler im Dateiverschlüsselungsprozess behoben.

Bad Rabbit verschlüsselt zuerst die Dateien auf dem Computer des Benutzers und ersetzt dann den MBR (Master Boot Record). Das bedeutet, dass Sie zwei Schlüssel kaufen müssen, einen für den Bootloader und einen für die Dateien selbst. Dadurch wird der Computer im Grunde genommen zerstört. Mehr technischer Hintergrund unter bleepingcomputer.

Wie man einen Rechner impft, wenn die Endpunkt-Software Bad Rabbit nicht blockiert

• Blockieren Sie die Ausführung der Dateien c:\windows\infpub.dat und c:\Windows\cscc.dat.
• Deaktivieren Sie den WMI-Dienst (falls dies in Ihrer Umgebung möglich ist), um zu verhindern, dass sich die Malware in Ihrem Netzwerk ausbreitet.

Hier finden Sie detaillierte Anweisungen, falls Sie es eilig haben.

Etwa eine Woche nach dem ersten Angriff wurde entdeckt, dass Bad Rabbit eine Tarnung für einen heimtückischeren Social Engineering-Angriff war. Mit Phishing-Kampagnen, die auf eine Reihe ukrainischer Unternehmen abzielten, sollten Finanzinformationen und andere sensible Daten abgegriffen werden. Die Ermittler gehen davon aus, dass der Täter von Bad Rabbit und der sekundären Phishing-Kampagne derselbe ist, wobei das Ziel des sekundären Angriffs darin bestand, sich unbemerkt Zugang zu verschaffen, lange nachdem die Ransomware-Kampagne aufgehört hatte, sich zu verbreiten.

„Da Cyber-Kriminelle immer schlauer und raffinierter werden, ist es wichtig, sich daran zu erinnern, dass Angriffe nicht immer das sind, was sie an der Oberfläche zu sein scheinen“, sagte Ben Johnson, Mitbegründer und Chief Technology Officer von Obsidian Security, gegenüber International Business Times. NotPetya nutzte auch Ransomware als Deckmantel für einen zweiten Angriff, und das ist wahrscheinlich kein Zufall.

Ist Ihr Netzwerk anfällig für Ransomware-Angriffe?

Finden Sie es jetzt mit dem Ransomware-Simulator „RanSim“ von KnowBe4 heraus und erhalten Sie Ihre Ergebnisse in wenigen Minuten.

“ Zurück zur Ransomware-Knowledgebase