Am Dienstag (24. Oktober 2017) traf ein neuer Ransomware-Angriff namens Bad Rabbit wichtige Infrastrukturen Osteuropas:
Der ukrainische Flughafen Odessa, die U-Bahn in Kiew und mehrere russische Nachrichtenagenturen waren von dieser Datenverschlüsselungs-Malware betroffen.
Obwohl die Hauptziele des Cyberangriffs Organisationen in Russland und der Ukraine zu sein scheinen, hat die Ransomware auch Computersysteme in der Türkei, Bulgarien, Deutschland, Japan und anderen Ländern infiziert, berichtet eine Sicherheitsfirma .
Wie gefährlich ist Bad Rabbit?
Die Art, wie sich Bad Rabbit verbreitet, ist durch einen Drive-By-Download. Einige beliebte Websites wurden durch das Einfügen von Javascript in ihren HTML-Text oder in eine der .js-Dateien infiziert.
Im Gegensatz zu früheren Ransomware-Angriffen, die sich selbstständig verbreiten, benötigt Bad Rabbit die Eingabe durch ein Opfer:
Sobald ein Nutzer eine manipulierte Website besucht, erscheint ein Popup-Fenster mit der Aufforderung, den Flash Player zu aktualisieren.
Was passiert als nächstes?
Der Computer wird infiziert, die Dateien werden verschlüsselt und sind nicht mehr zugänglich, nachdem die schädliche Datei installiert wurde.
Anschließend wird der Benutzer zu einer Seite mit einer Lösegeldnachricht geleitet, die verlangt, 0,05 Bitcoins (ungefähr € 250,–) zu bezahlen. Dies sollte innerhalb von 41 Stunden geschehen, um den Zugriff auf das System und die verschlüsselten Dateien zu erhalten. Wenn die angegebene Zeit abgelaufen ist, steigt der Lösegeldpreis.
Wer steckt hinter Bad Rabbit?
Es ist unklar, wer die Entwickler der Ransomware von Bad Rabbit sind. Allerdings ist bekannt, dass sie Fans von Game of Thrones sind. Bemerkt wurde, das die Malware Hinweise auf Gray Worm und Daenerys‘ Drachen enthält, welche Charaktere der Trend-Tv-Serie sind.
Ähnlichkeiten mit NotPetya
Bad Rabbit zeigt einige Ähnlichkeiten mit NotPetya, dem Ransomware-ähnlichen Angriff, den Windows-Computer in Europa und den USA diesen Sommer getroffen hat. Beide Angriffe wurden unter Verwendung ähnlicher Methoden konstruiert und zielen auf viele gleiche geografischen Standorte ab.
Im Gegensatz zu NotPetya und WannaCry ist Bad Rabbit jedoch nicht auf Eternal Blue aufgebaut, das Windows-Exploit, welches von der NSA (National Security Agency) zum Hacken genutzt wurde.
Muss man sich nun fürchten oder nicht?
Wie der Malware-Forscher James Emery-Callcott dem Nachrichtensender BBC berichtet, geht die Ransomware-Kampagne langsam dem Ende zu: „Soweit ich sehen kann, ist der Server des Angreifers nicht mehr live, und die meisten infizierten Sites, die das Skript hosten, das die Flash-Aktualisierungsaufforderung enthält, haben das Problem behoben.“
Da die tatsächlichen Absichten der Angreifer unbekannt sind, wird allen Betroffenen empfohlen, das geforderte Lösegeld nicht zu bezahlen, da es keine Garantie gibt, dass der Zugriff auf die verschlüsselten Daten zurück gegeben werden.
Bad Rabbit ist der dritte massive Ransomware-Angriff in diesem Jahr nach den Cyberangriffen WannaCry und NotPetya.
Er dient als Hinweis für jeden Internetnutzer, vorsichtig zu sein und niemals unerwünschte Anwendungen aus Flash-Pop-ups herunterzuladen und zu öffnen – selbst wenn sie sagen, dass dies ein notwendiges Update ist.
Bildnachweis: Pixabay, by Clker-Free-Vector-Images, CCO-Lizenz