Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Ransomware: Badrabbit verbreitete sich auch über Shadowbroker-Exploit

Wieder ein SMB-Exploit, aber nur als Backup für die Verbreitung im Firmennetzwerk: Badrabbit hat offenbar große Ähnlichkeiten mit der NotPetya-Kampagne. In Deutschland gibt es weiterhin nur wenige Opfer.
/ Hauke Gierow
7 Kommentare News folgen (öffnet im neuen Fenster)
Badrabbit nutzt auch SMB-Exploits. (Bild: Talos)
Badrabbit nutzt auch SMB-Exploits. Bild: Talos

Die Badrabbit-Malware, die Anfang der Woche vor allem Unternehmen in Russland und der Ukraine befallen hat , nutzt offenbar auch Exploits der NSA aus dem Shadowbroker-Dump. Primärer Infektionsvektor sind allerdings Watering-Hole-Angriffe über Webseiten, die gefälschte Flash-Updates ausliefern.

Ciscos Talos-Team(öffnet im neuen Fenster) und die Sicherheitsfirma F-Secure(öffnet im neuen Fenster) kommen beide zu dem Schluss, dass für die Infektion weiterer Rechner in einem Unternehmen auch Schwachstellen im Server-Message-Block-Protokoll (SMB) verwendet werden. Diese waren auch beim NotPetya-Angriff und bei Wannacry zum Einsatz gekommen. Die Schwachstelle mit dem NSA-Codenamen Eternalromance ist wohl auch deshalb bei Badrabbit präsent, weil große Teile des Codes aus dem NotPetya-Angriff übernommen wurden.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
IT-Systemadministrator*in (m/w/d) Max-Planck-Institut zur Erforschung multireligiöser und multiethnischer Gesellschaft, Göttingen (öffnet im neuen Fenster)
Backend / Game Engine Engineer (m/w/d) 4Players GmbH, Hamburg,Home Office (öffnet im neuen Fenster)
IT-Consultant / Senior-Softwareentwickler (m/w/d) AlphaInsights GmbH, Berlin (öffnet im neuen Fenster)
IT-Prozessmanagerin/IT-Prozessmanager (w/m/d) GKV-Spitzenverband, Bonn (öffnet im neuen Fenster)
Spezialist IT für SAP S/4HANA Analytics und Finanzen Deutsche Gesellschaft für Internationale Zusammenarbeit (GIZ) GmbH, Eschborn (öffnet im neuen Fenster)
Inhouse Consultant SAP CO (m/w/d) Schwarz Digits, Heilbronn (öffnet im neuen Fenster)
SAP FI Consultant - Fokus Banking Operations (m/w/d) Schwarz Digits, Heilbronn (öffnet im neuen Fenster)
Incident- & Processmanager/in (w/m/d) im Bereich der IT-Lagebeobachtung und -bewältigung Bundesamt für Sicherheit in der Informationstechnik, Bonn (öffnet im neuen Fenster)

Entschlüsselung soll grundsätzlich möglich sein

Talos geht nach der Analyse der Malware davon aus, dass die gleichen Personen dahinterstecken wie hinter der Nyetya-Malware und die Infektion und die Verbreitungswege langfristig geplant wurden. Badrabbit fordert eine Lösegeldzahlung von 0,5 Bitcoin, Opfer sollen innerhalb von 48 Stunden bezahlen. Anders als bei NotPetya soll es grundsätzlich möglich sein, Dateien wieder zu entschlüsseln. Sicherheitsfirmen und Polizeibehörden warnen aber grundsätzlich davor, zu zahlen, und empfehlen eine gute Backupstrategie.

Bad Rabbit (Herstellervideo)
Bad Rabbit (Herstellervideo) (01:04)

Vereinzelt wurden auch Badrabbit-Infektionen außerhalb der Ukraine und Russlands gemeldet, auch in Deutschland soll es einige Fälle geben. Eine breite Bedrohung stellt die Ransomware in anderen Ländern aber nicht dar, zumal relativ viel Interaktion der Nutzer erforderlich ist. Infizierte Webseiten lösen einen Download eines angeblichen Flash-Installers aus, der dann vom Nutzer selbst ausgeführt werden muss. Bei Wannacry wurde der Payload automatisch an ungepatchte Windows-Systeme verteilt und auch bei NotPetya wurde eine Schwachstelle zur automatischen Verteilung der Malware ausgenutzt .

Zur Startseite 7 Kommentare

Relevante Themen

PolitikSecurityCybercrimeWirtschaftUnternehmenOnlinehandelBitcoinDatensicherheitVirus