Ransomware: Badrabbit verbreitete sich auch über Shadowbroker-Exploit

Wieder ein SMB-Exploit, aber nur als Backup für die Verbreitung im Firmennetzwerk: Badrabbit hat offenbar große Ähnlichkeiten mit der NotPetya-Kampagne. In Deutschland gibt es weiterhin nur wenige Opfer.

Artikel veröffentlicht am ,
Badrabbit nutzt auch SMB-Exploits.
Badrabbit nutzt auch SMB-Exploits. (Bild: Talos)

Die Badrabbit-Malware, die Anfang der Woche vor allem Unternehmen in Russland und der Ukraine befallen hat, nutzt offenbar auch Exploits der NSA aus dem Shadowbroker-Dump. Primärer Infektionsvektor sind allerdings Watering-Hole-Angriffe über Webseiten, die gefälschte Flash-Updates ausliefern.

Stellenmarkt
  1. (Bio-)Informatiker (m/w/d) als Software-Entwickler (m/w/d)
    INFRAFRONTIER GmbH, Neuherberg bei München
  2. IT-Systemelektroniker/-in / Systeminformatiker/-in / Kommunikationselektroniker/-- in für den Bereich IT und Telekommunikation (w/m/d)
    Universitätsklinikum Tübingen, Tübingen
Detailsuche

Ciscos Talos-Team und die Sicherheitsfirma F-Secure kommen beide zu dem Schluss, dass für die Infektion weiterer Rechner in einem Unternehmen auch Schwachstellen im Server-Message-Block-Protokoll (SMB) verwendet werden. Diese waren auch beim NotPetya-Angriff und bei Wannacry zum Einsatz gekommen. Die Schwachstelle mit dem NSA-Codenamen Eternalromance ist wohl auch deshalb bei Badrabbit präsent, weil große Teile des Codes aus dem NotPetya-Angriff übernommen wurden.

Entschlüsselung soll grundsätzlich möglich sein

Talos geht nach der Analyse der Malware davon aus, dass die gleichen Personen dahinterstecken wie hinter der Nyetya-Malware und die Infektion und die Verbreitungswege langfristig geplant wurden. Badrabbit fordert eine Lösegeldzahlung von 0,5 Bitcoin, Opfer sollen innerhalb von 48 Stunden bezahlen. Anders als bei NotPetya soll es grundsätzlich möglich sein, Dateien wieder zu entschlüsseln. Sicherheitsfirmen und Polizeibehörden warnen aber grundsätzlich davor, zu zahlen, und empfehlen eine gute Backupstrategie.

Vereinzelt wurden auch Badrabbit-Infektionen außerhalb der Ukraine und Russlands gemeldet, auch in Deutschland soll es einige Fälle geben. Eine breite Bedrohung stellt die Ransomware in anderen Ländern aber nicht dar, zumal relativ viel Interaktion der Nutzer erforderlich ist. Infizierte Webseiten lösen einen Download eines angeblichen Flash-Installers aus, der dann vom Nutzer selbst ausgeführt werden muss. Bei Wannacry wurde der Payload automatisch an ungepatchte Windows-Systeme verteilt und auch bei NotPetya wurde eine Schwachstelle zur automatischen Verteilung der Malware ausgenutzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Victorian Big Battery
Tesla-Speicher brannte vier Tage lang

Viel Aufwand war nötig, um das brennende Akku-Modul zu löschen.

Victorian Big Battery: Tesla-Speicher brannte vier Tage lang
Artikel
  1. Kryptowährungen: Lohnt sich der Einstieg in Chia?
    Kryptowährungen
    Lohnt sich der Einstieg in Chia?

    Wie andere Altcoins soll Chia eine verträglichere Version des Bitcoin sein. Farming punktet dabei gegenüber GPU-Mining, wirklich sauber ist es aber nicht.
    Von Dirk Koller

  2. Musikstreaming: Spotify testet neues Abo für 99 Cent
    Musikstreaming
    Spotify testet neues Abo für 99 Cent

    Spotify Plus beinhaltet immer noch Werbung, Nutzer können aber freier als bei der Gratisversion Titel auswählen und überspringen.

  3. Windows 365: Der mietbare Cloud-PC mit Windows kann bestellt werden
    Windows 365
    Der mietbare Cloud-PC mit Windows kann bestellt werden

    Microsoft startet mit Windows 365 und gibt Preise für den Cloud-PC bekannt. Die VMs sollen wie physische Windows-PCs funktionieren.

bombinho 31. Okt 2017

Du kennst das Konzept der Sicherheitszonen im IE und weisst wie man es nutzt? Dann kannst...

bombinho 31. Okt 2017

Gleichwohl ich derlei Dinge schon hier und da gesehen habe, aber noch nicht bei...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Speicherwoche bei Saturn Samsung • C27RG54FQU, 27 Zoll, curved 203,55€ • Bosch Professional Werkzeuge und Messtechnik • Samsung Galaxy Vorbesteller-Aktion • Speicherwoche bei Media Markt • 15% auf Xiaomi-Technik • Hisense UHD-Fernseher • Saturn: 1 Produkt zahlen, 2 erhalten [Werbung]
    •  /