Thought Leadership
Bad Rabbit wurde in dieser Woche entdeckt, bis jetzt steht aber noch nicht fest, wer hinter dieser Ransomware steckt. Dr. Christopher Brennan, Regional Director DACH bei Skybox Security, kommentiert die Ausbreitung der Ransomware Bad Rabbit.
0.05 Bitcoins, also etwa 242 € kostet es aktuell, um die Entschlüsselung für die Ransomeware Bad Rabbit zu erwerben und die Daten auf seinem Rechner wiederherzustellen. Die Ransomware arbeitet mit Social Engineering. Die User werden auf verschiedenen Websites dazu gebracht, eine Fake-Version des Adobe Flash Players herunterzuladen und zu installieren, und eröffnen damit der Schadsoftware Zugang zu ihrem Rechner. Bad Rabbit enthält ungefähr 67 Prozent des Codes von Petya/NotPetya, einer vorangegangenen Ransomware. Das legt nahe, dass entweder derselbe Autor hinter den beiden Schadsoftwares steckt, oder dass der Code entweder gekauft oder gestohlen wurde. Wie Petya/Not Petya, hat Bad Rabbit mittlerweile globale Ausmaße erreicht und Rechner vor allem in Russland und in weiteren Ländern Osteuropas, in der Türkei, in Deutschland und in den USA befallen. Bad Rabbit wurde in dieser Woche entdeckt, bis jetzt steht aber noch nicht fest, wer hinter dieser Ransomware steckt.
Dr. Christopher Brennan, Regional Director DACH bei Skybox Security, kommentiert die schnelle Ausbreitung von Bad Rabbit:
„Obwohl Bad Rabbit Erinnerungen an Petya/NotPetya und WannaCry zurückbringt, gibt es signifikante Unterschiede. Bad Rabbit nutzt Social Engineering als Methode und keine Exploits wie zum Beispiel EternalBlue. Das bedeutet, dass gegen Bad Rabbit nicht gepatcht werden kann, sondern User vor der Ransomware gewarnt werden müssen. Jedoch sollten Unternehmen nicht nur warnen, sondern die befallenen Websites auf ihre Schwarze Liste setzen. Zudem zahlt sich hier, wie auch in allen anderen Fällen, eine gute Cyber-Hygiene aus: starke Passwörter verwenden, die Nutzung des SMB-Protokolls begrenzen und Administratorenrechte nur an die Nutzer verteilen, die sie auch wirklich brauchen.
So wie es aussieht, befällt Bad Rabbit nur Windows-Nutzer und die verschlüsselten Daten scheinen wiederherstellbar zu sein – deshalb handelt es sich wohl tatsächlich um eine reine Ransomware und nicht um einen Zerstörer.
Was bei Bad Rabbit beunruhigend ist, ist der Fakt, dass die Ransomware schon kritische Infrastrukturen in Kiew und Odessa angegriffen hat. So wurden zum Beispiel die Metro in Kiew und der Flughafen in Odessa zum Ziel des Angriffs. Im Vergleich zu Petya/NotPetya und WannaCry sind die Auswirkungen von Bad Rabbit noch relativ gering, aber Bad Rabbit ist das nächste Beispiel dafür, wie Cyberattacken grundlegende Systeme unseres modernen Lebens bedrohen. Wir wollen nicht, dass diese Art von Attacken zur Normalität werden, aber momentan ist das die Realität. Deshalb müssen besonders Unternehmen, die über kritische Infrastruktur verfügen oder diese verwalten, unbedingt die Sichtbarkeit ihrer IT- und Industrie-Netzwerke herstellen, um sie ordnungsgemäß segmentieren zu können. Zudem müssen sie verstehen, wo IT- und OT-Netzwerke zusammenlaufen und wie sich eine Attacke parallel durch diese Netzwerke bewegen kann.
Wer also noch reagieren kann und wessen Systeme noch nicht von Bad Rabbit befallen sind, sollte die Initiative ergreifen, die befallenen Websites sperren und die User vor der Ransomware warnen. Dann sollte es möglich sein, dass Bad Rabbit nicht weiter aus seinem Bau kommt.“
Liste der mit Bad Rabbit befallenen Websites:
- Argumentiru[.]com
- www.fontanka[.]ru
- grupovo[.]bg
- www.sinematurk[.]com
- www.aica.co[.]jp
- spbvoditel[.]ru
- argumenti[.]ru
- www.mediaport[.]ua
- blog.fontanka[.]ru
- an-crimea[.]ru
- www.t.ks[.]ua
- most-dnepr[.]info
- osvitaportal.com[.]ua
- www.otbrana[.]com
- calendar.fontanka[.]ru
- www.grupovo[.]bg
- www.pensionhotel[.]cz
- www.online812[.]ru
- www.imer[.]ro
- novayagazeta.spb[.]ru
- i24.com[.]ua
- bg.pensionhotel[.]com
- ankerch-crimea[.]ru
www.skyboxsecurity.com
