Ransomware: Badrabbit verschlüsselt Nachrichtenagentur Interfax

In Russland und der Ukraine verbreitet sich eine neue Ransomware. Badrabbit wurde über Nachrichtenwebseiten verbreitet und befällt offenbar gezielt Unternehmensnetzwerke. Betroffen waren eine Nachrichtenagentur, der Flughafen von Odessa und die Metro von Kiew.

Artikel veröffentlicht am ,
Die Erpresserbotschaft
Die Erpresserbotschaft (Bild: Eset)

Eine neue Ransomware-Variante hat am Dienstag zahlreiche Rechner in Russland und der Ukraine verschlüsselt. Neben dem Schwerpunkt in den beiden genannten Ländern sollen allerdings auch die Türkei und Bulgarien betroffen sein. Es handelt sich nach Angaben der Sicherheitsfirma Eset um eine Variante der Ransomware Diskcoder.D.

Stellenmarkt
  1. Systemmanager (m/w/d) Bürokommunikation
    Staatliche Lotterieverwaltung in Bayern, München
  2. Softwareentwickler (m/w/d)
    WITRON Gruppe, Rimpar (Raum Würzburg)
Detailsuche

Die Ransomware wird über einen Drive-by-Download auf einer Webseite verteilt, Nutzer müssen also die heruntergeladene Datei selbst installieren. Nach Angaben von Kaspersky handelt es sich um einen angeblichen Adobe-Flash-Installer. Der Download der Installer soll auf verschiedenen Nachrichtenwebseiten stattgefunden haben, Kaspersky gibt den Link des Droppers mit hxxp://1dnscontrol[.]com/flash_install.php an.

  • Im Code finden sich Hinweise auf die Serie Game of Thrones. (Bild: Kaspersky)
  • Die Erpresserbotschaft (Bild: Eset)
Im Code finden sich Hinweise auf die Serie Game of Thrones. (Bild: Kaspersky)

Exploits werden nach derzeitigem Kenntnisstand also nicht genutzt, um die Malware zu verteilen - anders als zum Beispeil Wanna Cry oder Notpetya, die über Schwachstellen in Windows (Eternalblue) und einer Finanzsoftware (Medoc) verteilt wurden.

Gezielter Angriff auf Unternehmensnetzwerke

Kaspersky geht von einem gezielten Angriff auf Firmennetzwerke aus. Bis gestern Abend soll es rund 200 Opfer gegeben haben, die die Ransomware installiert haben. Betroffen waren unter anderem die russische Nachrichtenagentur Interfax, die Metro der ukrainischen Hauptstadt Kiew und der Flughafen von Odessa. Interfax konnte zwischenzeitlich keine Nachrichten an Kunden mehr zustellen. Das geforderte Lösegeld beträgt 0,05 Bitcoin, derzeit etwa 230 Euro, das Zahlungsziel wird mit 40 Stunden angegeben.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Administratoren können die Ausführung der Dateien c:\windows\infpub.dat und c:\windows\cscc.dat blockieren, diese starten nach derzeitigem Stand die Verschlüsselung des Rechners. Eine neue Version der Malware könnte natürlich andere Dateinamen verwenden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Opel Mokka-e im Praxistest
Reichweitenangst kickt mehr als Koffein

Ist ein Kompakt-SUV wie Opel Mokka-e für den Urlaub geeignet? Im Praxistest war nicht der kleine Akku das eigentliche Problem.
Ein Test von Friedhelm Greis

Opel Mokka-e im Praxistest: Reichweitenangst kickt mehr als Koffein
Artikel
  1. Statt TCP: Quic ist schwer zu optimieren
    Statt TCP
    Quic ist schwer zu optimieren

    Eine Untersuchung von Quic im Produktiveinsatz zeigt: Die Vorteile des Protokolls sind wohl weniger wichtig als die Frage, wer es einsetzt.

  2. Lockbit 2.0: Ransomware will Firmen-Insider rekrutieren
    Lockbit 2.0
    Ransomware will Firmen-Insider rekrutieren

    Die Ransomware-Gruppe Lockbit sucht auf ungewöhnliche Weise nach Insidern, die ihr Zugangsdaten übermitteln sollen.

  3. Galactic Starcruiser: Disney eröffnet immersives (und teures) Star-Wars-Hotel
    Galactic Starcruiser
    Disney eröffnet immersives (und teures) Star-Wars-Hotel

    Wer schon immer zwei Tage lang wie in einem Star-Wars-Abenteuer leben wollte, bekommt ab dem Frühjahr 2022 die Chance dazu - das nötige Kleingeld vorausgesetzt.

Benutzer0000 02. Nov 2017

auch gut, nur führe ich es ja trotzdem nicht ohne sandbox aus. das heisst die malware...

FreiGeistler 27. Okt 2017

@jeegeek: Natürlich hast du damit recht, dass Layer 8 Fehlerquelle Nummer 1 ist und ein...

Tuxgamer12 25. Okt 2017

AAAHH!!! Hört bitte, bitte auf dieses noexec bzw. x-Flag als die "göttliche, allmächtige...

DeathMD 25. Okt 2017

...über Kaspersky ;)

qbl 25. Okt 2017

Die Ransomware wird über einen Drive-by-Download auf einer Webseite verteilt...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Fire TV Stick 4K Ultra HD 29,99€, Echo Dot 3. Gen. 24,99€ • Robas Lund DX Racer Gaming-Stuhl 143,47€ • HyperX Cloud II Gaming-Headset 59€ • Media Markt Breaking Deals [Werbung]
    •  /