• IT-Karriere:
  • Services:

Ransomware: Badrabbit verbreitete sich auch über Shadowbroker-Exploit

Wieder ein SMB-Exploit, aber nur als Backup für die Verbreitung im Firmennetzwerk: Badrabbit hat offenbar große Ähnlichkeiten mit der NotPetya-Kampagne. In Deutschland gibt es weiterhin nur wenige Opfer.

Artikel veröffentlicht am ,
Badrabbit nutzt auch SMB-Exploits.
Badrabbit nutzt auch SMB-Exploits. (Bild: Talos)

Die Badrabbit-Malware, die Anfang der Woche vor allem Unternehmen in Russland und der Ukraine befallen hat, nutzt offenbar auch Exploits der NSA aus dem Shadowbroker-Dump. Primärer Infektionsvektor sind allerdings Watering-Hole-Angriffe über Webseiten, die gefälschte Flash-Updates ausliefern.

Stellenmarkt
  1. Simovative GmbH, München
  2. SCHOTT AG, Mainz

Ciscos Talos-Team und die Sicherheitsfirma F-Secure kommen beide zu dem Schluss, dass für die Infektion weiterer Rechner in einem Unternehmen auch Schwachstellen im Server-Message-Block-Protokoll (SMB) verwendet werden. Diese waren auch beim NotPetya-Angriff und bei Wannacry zum Einsatz gekommen. Die Schwachstelle mit dem NSA-Codenamen Eternalromance ist wohl auch deshalb bei Badrabbit präsent, weil große Teile des Codes aus dem NotPetya-Angriff übernommen wurden.

Entschlüsselung soll grundsätzlich möglich sein

Talos geht nach der Analyse der Malware davon aus, dass die gleichen Personen dahinterstecken wie hinter der Nyetya-Malware und die Infektion und die Verbreitungswege langfristig geplant wurden. Badrabbit fordert eine Lösegeldzahlung von 0,5 Bitcoin, Opfer sollen innerhalb von 48 Stunden bezahlen. Anders als bei NotPetya soll es grundsätzlich möglich sein, Dateien wieder zu entschlüsseln. Sicherheitsfirmen und Polizeibehörden warnen aber grundsätzlich davor, zu zahlen, und empfehlen eine gute Backupstrategie.

Vereinzelt wurden auch Badrabbit-Infektionen außerhalb der Ukraine und Russlands gemeldet, auch in Deutschland soll es einige Fälle geben. Eine breite Bedrohung stellt die Ransomware in anderen Ländern aber nicht dar, zumal relativ viel Interaktion der Nutzer erforderlich ist. Infizierte Webseiten lösen einen Download eines angeblichen Flash-Installers aus, der dann vom Nutzer selbst ausgeführt werden muss. Bei Wannacry wurde der Payload automatisch an ungepatchte Windows-Systeme verteilt und auch bei NotPetya wurde eine Schwachstelle zur automatischen Verteilung der Malware ausgenutzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 39,90€ (Vergleichspreis 52,70€)
  2. 124,99€
  3. mit täglich wechselnden Angeboten
  4. (u. a. Forza Horizon 4 (Xbox One / Windows 10) für 28,49€ und Total War - Three Kingdoms für 22...

bombinho 31. Okt 2017

Du kennst das Konzept der Sicherheitszonen im IE und weisst wie man es nutzt? Dann kannst...

bombinho 31. Okt 2017

Gleichwohl ich derlei Dinge schon hier und da gesehen habe, aber noch nicht bei...


Folgen Sie uns
       


Golem.de baut das Makerphone zusammen (Zeitraffer)

Das Makerphone ist ein Handy zum Zusammenbauen. Kinder wie auch Erwachsene können so die Funktionsweise eines Mobiltelefons nachvollziehen.

Golem.de baut das Makerphone zusammen (Zeitraffer) Video aufrufen
Telekom, Vodafone: Wenn LTE schneller als 5G ist
Telekom, Vodafone
Wenn LTE schneller als 5G ist

Dynamic Spectrum Sharing erlaubt 5G und LTE in alten Frequenzbereichen von 3G und DVB-T. Doch wenn man hier nur LTE einsetzen würde, wäre die Datenrate höher.
Ein Bericht von Achim Sawall

  1. Telekom Große Nachfrage nach Campusnetzen bei der Industrie
  2. Redbox Vodafone stellt komplettes 5G-Netz in einer Box vor
  3. 5G N1 Telekom erweitert massiv das 5G-Netz mit Telefónica-Spektrum

Threefold: Die Idee vom dezentralen Peer-to-Peer-Internet
Threefold
Die Idee vom dezentralen Peer-to-Peer-Internet

Wie mit Blockchain, autonomem Ressourcenmanagement und verteilter Infrastruktur ein gerechteres Internet entstehen soll.
Von Boris Mayer

  1. Hamsterkäufe App soll per Blockchain Klopapiermangel vorbeugen

Horror-Thriller Unsubscribe: Wie ein Zoom-Film die Nummer 1 an der Kinokasse wurde
Horror-Thriller Unsubscribe
Wie ein Zoom-Film die Nummer 1 an der Kinokasse wurde

Zwei US-Filmemacher haben mit Zoom den Horror-Film Unsubscribe gedreht. Sie landeten damit sogar an der Spitze der US-Box-Office-Charts. Zumindest für einen Tag.
Von Peter Osteried

  1. Film Wie sich Science-Fiction-Autoren das Jahr 2020 vorstellten
  2. Alien Im Weltall hört dich keiner schreien
  3. Terminator: Dark Fate Die einzig wahre Fortsetzung eines Klassikers?

    •  /