zurück zur Übersicht

BadRabbit – Ausbruch und Abhilfe

Am frühen abend europäischer Zeit begannen Nachrichten zu zirkulieren über eine neue Petya-Variante unter dem Namen „BadRabbit“. Ausbrüche wurden gemeldet aus Russland, der Ukraine, der Türkei und Bulgarien. Später wurde von unseren Cyber Defence Centers (CDCs) in Westeuropa, speziell in Belgien und Schweden, eine Ausbreitung der Welle festgestellt. Inzwischen wurden auch Fälle aus den Vereinigten Staaten gemeldet.

Badrabbit ist eine Weiterentwicklung der (Not)Petya Crypto-Ransomware. Die Hauptunterschiede sind:

  • BadRabbit nutzt nicht die EternalBlue SMB vulnerability
  • Stattdessen wird eine relativ einfache “flash update” Methode zur Infektion verwendet. Mit anderen Worten: der User muss mitspielen und den Angreifern auf den Leim gehen.
  • Es benutzt ein krudes, hardgecodetes Passwort-System fürs “lateral movement”
  • Es wurde ein größerer Aufwand ins Bezahl- und Schlüsselrückgabe-System gesteckt. Dabei wird eine shcwer zurückverfolgbare TOR Webseite benutzt. Das legt nahe, dass es den Tätern weit wichtiger ist als bei NotPetya, tatsächlich Geld mit ihrem Angriff zu verdienen.

Wir werden die Entwicklung weiter beobachten und gegebenenfalls Updates veröffentlichen. Unsere MSS-Kunden werden natürlich ebenfalls auf dem Laufenden gehalten.

Abhilfe

  • Die meisten AV’s haben inzwischen Signaturupdates um BadRabbit zu erkennen
  • Prinzipiell sollte man sicher sein, solange man nicht mit Admin-Privilegien unterwegs ist. Bisher haben die Analysten keine Techniken erkannt, die das aushebeln von Benutzerrechten erlauben würden.
  • Es wurde auch eine weitere Methode gefunden, sich vor dem Angriff zu schützen. Dazu muss man lediglich zwei Dateien erstellen: c:\windows\infpub.dat und c:\windows\cscc.dat und sämtliche Zugriffsrechte entfernen. Dadurch stoppt der Angriff sofort. Wir haben diese Methode getestet und können das bestätigen.

Mehr Information

 


Bild: ©iStockphoto.com/nullplus/157564745

Schreibe einen Kommentar