Die Ransomware "Bad Rabbit" verbreitet sich derzeit mit vehementer Geschwindigkeit. Über ein gefälschtes Adobe-Flash-Installationsprogramm, das die Kriminellen, die hinter der Attacke stehen, unter anderem auf infizierten Webseiten verbreiten, gelangt das Schadprogramm auf die Rechner. Es sperrt den Computer und verbreitet sich dann im angeschlossenen Netzwerk weiter.
IT-Sicherheitsexperten warnen davor, dass der Schaden durch "Bad Rabbit" ähnlich verheerende Ausmaße annehmen könnte, wie bereits die beiden großen Ransomware-Attacken "Wannacry" und "ExPetr" (auch Bekannt unter "Petya" oder "NotPetya").
Wenn Bad Rabbit annähernd vergleichbar mit NotPetya ist, dann seien Sie vorbereitet und erwarten Sie eine Welle der Zerstörung." Christian Vezina, CISO des IT-Sicherheit-Unternehmens Vasco.
Gezielter Angriff auf Unternehmensnetzwerke
Laut Sicherheitsanbieter Kaspersky Lab ist "Bad Rabbit" zunächst in Russland aufgetaucht und hat dort mehrere große Medienkanäle infiziert. Darunter sei auch die Nachrichtenagentur Interfax gewesen, berichtet Kaspersky. Auch der Flughafen Odessa in der Ukraine hat demnach einen Cyberangriff auf seine IT gemeldet. Der öffentliche Nahverkehr und Regierungsbehörden in der Ukraine wie das Infrastruktur-Ministerium sind ebenfalls betroffen. Die Ransomware konnte Geräte über eine Reihe von gehackten russischen Medien-Webseiten infizieren.
Unseren Untersuchungen zufolge handelt es sich hierbei um einen gezielten Angriff auf Unternehmensnetzwerke, bei dem ähnliche Methoden wie bei der ExPetr-Attacke genutzt werden." Kaspersky Lab im Daily-Blog.
"Bad Rabbit" ist eine zuvor noch nicht in Erscheinung getretene Ransomware-Familie und baut beispielsweise nicht auf Wannacry oder ExPetr auf. Die Schadsoftware nutzt auch keine Sicherheitslücken, sondern ist nach einem Drive-by-Angriff (also das unbeabsichtigte Herunterladen einer Datei) auf das manuelle Ausführen einer .exe-Datei durch einen Windows-Nutzer angewiesen. Erst wenn die gefälschte Adobe-Datei gestartet wird, wird der Rechner infiziert.
Experten warnen mit Nachdruck: Auf keinen Fall Lösegeld zahlen
Die Erpresser, die hinter der Attacke stecken, verlangen ein Lösegeld in Höhe von 0,05 Bitcoin (was ungefähr 250 Euro entspricht), um den gesperrten Rechner wieder freizugeben. Sicherheitsexperten raten – wie bei allen Ransomware-Angriffen – allerdings mit Nachdruck davon ab, die Forderung zu erfüllen. Zum einen werden die Kriminellen dadurch nur in ihrem Tun bestärkt. Außerdem ist nicht garantiert, dass die Kriminellen den Rechner nach einer Zahlung auch wirklich freigeben.
Die Attacke scheint monatelang vorbereitet worden zu sein. Laut der Sicherheitsfirma Risk IQ haben die Angreifer über einen längeren Zeitraum zahlreiche Webseiten gehackt und dort die schadhaften Scripte platziert. Der Risk-IQ-Analyse zufolge sollen einige Webseiten bereits 2016 von den Hackern infiltriert worden sein.
Staatliche Aktion hinter den Angriffen?
Mittlerweile wird "Bad Rabbit" der Hackergruppe TeleBots für zugeschrieben, die auch für die ExPetr-Attacke verantwortlich gewesen sein soll und für Angriffe auf das ukrainische Stromnetz 2015 und 2016. Daher wird eine staatlich gesteuerte Cyberattacke dahinter vermutet. Während die meisten opfer zwar in Russland zu finden sind, betreffen die kritischen Infizierungen vor allem die Ukraine, zeigt eine Analyse des Security-Anbieters ESET.
Sicherheitsfachleute vermuten zudem, dass Bad Rabbit eine Ablenkung sein könnte, um möglicherweise andere Angriffe zu verschleiern oder Beweise zu vernichten.
Enormer Schaden droht Unternehmen
Egal, was dahinter steckt: Der Schaden für Unternehmen durch eine von Ransomware lahmgelegte IT kann enorm sein und schnell das Hundert- oder Tausendfache der Lösegeldforderung betragen.
Neben dem wohl wichtigsten Faktor der IT-Sicherheit, nämlich Security Awareness – also das Bewusstsein für Gefahren bei Mitarbeitern schaffen – gibt es gegen "Bad Rabbit" auch konkrete Schutzmaßnahmen. Zum einen bieten mehrere Security-Anbieter kostenlose Programme für Schutz gegen Ransomware an. Zum anderen können Nutzer oder IT-Abteilungen manuell Einstellungen an den Rechnern vornehmen, die vor "Bad Rabbit" schützen sollten und dessen Verbreitung unterbinden. Kaspersky schlägt vor:
- Blockieren Sie die Ausführung der Dateien c:\windows\infpub.dat und c:\Windows\cscc.dat
- Wenn möglich, deaktivieren Sie die Windows Management Instrumentation (WMI). Damit wird verhindert, dass sich Malware im Netzwerk ausbreitet.
- Sicheren Sie die Rechner-Daten in einem Backup.