Bad Rabbit: Stecken die NotPetya-Erpresser hinter der neuen Ransomware?
Auf der Suche nach den Bad-Rabbit-Urhebern stellen Sicherheitsexperten fest: Die Ransomware-Attacke wurde seit Monaten vorbereitet.
Seit Dienstag treibt eine neue, Bad Rabbit getaufte Ransomware ihr Unwesen - vor allem in Russland, der Ukraine, Bulgarien und der Türkei. Aber auch in Deutschland sollen Angriffe beobachtet worden sein. Sicherheitsexperten weltweit untersuchten nun die Hintergründe der Attacke - und machten dabei beachtliche Feststellungen.
Die Hacker hinter der Bad Rabbit bereiteten demnach ihre Ransomware-Attacke bereits seit Monaten vor. Wie die Sicherheitsfirma RiskIQ analysiert, infiltrierten die Angreifer zahlreiche Webseiten und installierten dort ihre Malware-Scripts für die angeblichen Flash-Player-Updates, über die dann die Bad Rabbit Trojaner installiert wurden. Manche der Webseiten sollen laut der Analyse bereits seit 2016 von den Hackern infiltriert worden sein, was dafür sprechen könnte, dass sie bereits für andere Operationen eingesetzt wurden.
Ein Werk der TeleBots-Hackergruppe?
Die lange Vorbereitungszeit spricht laut der Einschätzung des Security-Blogs Bleeping Computer für eine staatlich gesteuerte Cyberattacke. Das sei jedoch nicht das einzige Anzeichen hierfür: So wird die Bad Rabbit Ransomware der Hackergruppe TeleBots zugeschrieben, die bereits für die NotPetya-Attacke verantwortlich gewesen sein soll und der Angriffe auf das ukrainische Stromnetz im Dezember 2015 und Dezember 2016 zugeschrieben werden.
Mit Bad Rabbit sollen die TeleBots-Hacker laut einer ESET-Analyse zwar deutlich mehr russische Ziele (65 Prozent) getroffen haben, die kritischeren Infizierungen sollen jedoch in der Ukraine gelegen haben - etwa Flughäfen, öffentlicher Nahverkehr und Regierungsbehörden.
Bad Rabbit womöglich nur Ablenkung
Unklar ist, warum die Attacke gerade jetzt stattfand. Da die Hacker viele Webseiten bereits seit langer Zeit infiltriert hatten, vermuten nun Experten, es könnte sich bei Bad Rabbit um ein Ablenkungsmannöver handeln, das andere Angriffe verschleiern oder Beweise vernichten sollte.
26.10.2017 von Manuel Medicus
Quelle: Bad Rabbit: Wer steckt hinter der neuen Ransomware? - PC Magazin
Warnung vor Erpressertrojaner
Bad Rabbit Ransomware: Neue Petya-Variante schlägt zu
Die neue Ransomware Bad Rabbit befällt vermehrt Rechner in Europa. Bei einer Infektion gehen alle Daten verloren.
Mit WannaCry und Petya sind dieses Jahr schon zwei große Ransomware-Wellen über das Internet verbreitet worden. Jetzt befällt ein weiteres Schadprogramm mit dem Namen "Bad Rabbit" Computer in ganz Europa. Angriffe wurden unter anderem schon in Russland, Bulgarien, der Türkei, der Ukraine und auch Deutschland erkannt.
Die Verbreitung des Trojaners soll dabei vorranging über News-Seiten als Drive-by-Download erfolgt sein. Im Fall von Bad Rabbit, ploppt beim Surfen auf infizierten Seiten eine Meldung für ein dringend notwendiges Flash-Player-Update auf. Wird die vermeintliche Update-Datei dann heruntergeladen und ausgeführt, werden die Dateien auf dem Computer verschlüsselt.
Zielt besonders auf Firmen-Netzwerke
Bad Rabbit ist dabei eine typische Ransomware, die wenn sie einmal auf den Computer gelangt ist, alle Dateien verschlüsselt und somit den PC komplett unbrauchbar macht. Gleichzeitig verbreitet sie sich über Sicherheitslücken über das lokale Netzwerk und treibt so wie WannaCry und NotPetya ihr Unwesen in Firmennetzwerken. Für die Freigabe der Dateien wird dann ein Lösegeld gefordert, welches in einer nicht zurückverfolgbaren, digitalen Währung überwiesen werden soll.
Für die Entsperrung werden in diesem Fall 0.05 Bitcoins (ca. 240 Euro) gefordert, was eine vergleichsweise niedrige Lösegeldforderung ist. Die Software-Sicherheitsfirma Kaspersky rät jedoch von einer Zahlung der Summe ab, auch weil noch nicht klar ist, ob die Dateien überhaupt wieder entschlüsselt werden können.
25.10.2017 von Robin Beilicke
Quelle: Bad Rabbit Ransomware: Neue Petya-Variante schlägt zu - PC Magazin
BadRabbit: Ransomware hält Ihre Daten als Geisel!
von Lennart Gotta
25.10.2017, 13:14 Uhr Der neue Kryptotrojaner „BadRabbit” zählt bereits knapp 200 Opfer. Eine russische Nachrichtenagentur musste sogar den Dienst einstellen.
Einige russische Medienagenturen und die ukrainische Infrastruktur sind einer großflächigen, gravierenden Ransomware-Attacke zum Opfer gefallen. Zu den Betroffenen zählen neben Kiews öffentlichem Verkehrssystem und dem Flughafen von Odessa auch die Nachrichtenagentur Interfax aus Russland, die sich teilweise in staatlicher Hand befindet. Zeitgleich haben die Hacker anscheinend auch Fontanka.ru aus St. Petersburg angegriffen, das gab das News-Portal über das soziale Netzwerk vk.com bekannt. Die Malware hat dabei die Unternehmen und Organisationen bis aufs weitere lahmgelegt. Eine Lösung liegt bislang noch nicht parat.
BadRabbit: Erpressung mit Bitcoins
Nach der Infektion verschlüsselt der Krytotrojaner die Daten auf den Servern und leitet die Nutzer auf eine Darknet-Seite, die zur zeitnahen Zahlung von 0,05 Bitcoins (knapp 240 Euro) auffordert. Nach 40 Stunden soll das verlangte Lösegeld steigen. Während Kaspersky Labs den Trojaner „BadRabbit” getauft hat, spricht der slowakische Sicherheitssoftware-Experte Eset von „Diskcoder.D”. Beim Erpresservirus handelt es sich laut Eset um eine abgewandelte Version von „Petya”. Die Malware hat Eset zufolge zwei Verteilungswege: Zum einen gelangt die Schadsoftware über ein gefälschtes Update für den Adobe Flash Player (install_flash_player.exe) auf die Rechner, das auf Webseiten via Pop-up zum Herunterladen steht, auch Drive-by-Download genannt. Statt der Aktualisierung installiert sich der Virus, sperrt den Nutzer aus und zeigt die Lösegeldforderung an. Außerdem breitet sich BadRabbit durch eigenständiges Infizieren anderer PCs im SMB-Netzwerk aus.
BadRabbit: Deutschland und Türkei im Visier
Laut Kaspersky Labs sollen ebenso einige Personen aus Deutschland und der Türkei BadRabbit zum Opfer gefallen sein. Hier soll sich die Zahl der Betroffenen auf etwa 200 belaufen. In 2017 gab es bereits einige Ransomware-Angriffe, darunter der verwandte Trojaner „NotPetya” (beziehungsweise „Diskcoder.C”) und der Virus „WannaCry”, der hunderttausende Computer weltweit befallen hat.
Quelle: BadRabbit: Malware hält Daten gefangen! - COMPUTER BILD