Ransomware: Badrabbit verbreitete sich auch über Shadowbroker-Exploit

Die Badrabbit-Malware, die Anfang der Woche vor allem Unternehmen in Russland und der Ukraine befallen hat, nutzt offenbar auch Exploits der NSA aus dem Shadowbroker-Dump. Primärer Infektionsvektor sind allerdings Watering-Hole-Angriffe über Webseiten, die gefälschte Flash-Updates ausliefern.

Ciscos Talos-Team und die Sicherheitsfirma F-Secure kommen beide zu dem Schluss, dass für die Infektion weiterer Rechner in einem Unternehmen auch Schwachstellen im Server-Message-Block-Protokoll (SMB) verwendet werden. Diese waren auch beim NotPetya-Angriff und bei Wannacry zum Einsatz gekommen. Die Schwachstelle mit dem NSA-Codenamen Eternalromance ist wohl auch deshalb bei Badrabbit präsent, weil große Teile des Codes aus dem NotPetya-Angriff übernommen wurden.

Entschlüsselung soll grundsätzlich möglich sein

Talos geht nach der Analyse der Malware davon aus, dass die gleichen Personen dahinterstecken wie hinter der Nyetya-Malware und die Infektion und die Verbreitungswege langfristig geplant wurden. Badrabbit fordert eine Lösegeldzahlung von 0,5 Bitcoin, Opfer sollen innerhalb von 48 Stunden bezahlen. Anders als bei NotPetya soll es grundsätzlich möglich sein, Dateien wieder zu entschlüsseln. Sicherheitsfirmen und Polizeibehörden warnen aber grundsätzlich davor, zu zahlen, und empfehlen eine gute Backupstrategie.

Vereinzelt wurden auch Badrabbit-Infektionen außerhalb der Ukraine und Russlands gemeldet, auch in Deutschland soll es einige Fälle geben. Eine breite Bedrohung stellt die Ransomware in anderen Ländern aber nicht dar, zumal relativ viel Interaktion der Nutzer erforderlich ist. Infizierte Webseiten lösen einen Download eines angeblichen Flash-Installers aus, der dann vom Nutzer selbst ausgeführt werden muss. Bei Wannacry wurde der Payload automatisch an ungepatchte Windows-Systeme verteilt und auch bei NotPetya wurde eine Schwachstelle zur automatischen Verteilung der Malware ausgenutzt.