Bad Rabbit: Bedroht die neue Ransomware auch deutsche Computer?

In der vergangenen Woche musste die russische Nachrichtenagentur Interfax ihren Betrieb vorübergehend einstellen. Der Grund: Offenbar haben Kriminelle es geschafft, das Unternehmen mit der neuen Erpresser-Software Bad Rabbit zu infizieren. Um das Programm auf den Rechnern der Nachrichtenagentur einzuschleusen, nutzten sie einen sogenannten Watering-Hole-Angriff. Dabei werden gezielt Webseiten kompromittiert, die die anvisierte Zielgruppe regelmäßig besucht. Wären beispielsweise Versicherungsvertreter im Visier der Hacker, würden sie versuchen, ihren Schadcode auf Seiten wie versicherungsmonitor.de oder pfefferminzia.de zu platzieren. Wie die Tiere in der Steppe ans Wasserloch kommen die Zielpersonen immer wieder zu dieser infizierten Webseite – und fangen sich dort das Virus ein. Der Schadcode kann etwa zu einem Update des Flash-Players auffordern und eine .exe-Datei mit entsprechendem Namen laden. Unnötig zu sagen, dass dahinter natürlich kein Flash-Update steckt. Wer diese Datei ausführt und mit Administratorenrechten unterwegs ist, hat sich den Kryptotrojaner eingefangen.

Auch im Fall von Bad Rabbit gingen die Hintermänner auf diese Weise vor: Sie schmuggelten den falschen Hasen über legitime News-Seiten auf die Rechner der Opfer. Aus den infizierten Webseiten lässt sich ein Schwerpunkt auf osteuropäische Unternehmen ablesen, allerdings ist sich ESET, ein Hersteller von Sicherheits-Software, sicher, dass auch Deutschland in den Fokus der Angriffe rücken könnte. Bislang wurde der Code nur auf einigen wenigen Webseiten festgestellt, wie das Unternehmen Kaspersky berichtet. Inwieweit die Hacker ihre Attacke auf Deutschland ausdehnen werden, bleibt also abzuwarten.

Auch eine Analyse von Bad Rabbit blieben die Sicherheitsexperten von Kaspersky und ESET nicht schuldig. Dabei zeigte sich, dass das Schadprogramm ein buntes Sammelsurium an bereits bekannter Ransomware sowie legitimer Software ist. In einem Screenshot, der von Kaspersky veröffentlicht wurde, ist beispielsweise ersichtlich, dass einige Codezeilen von Bad Rabbit mit denen von NotPetya (wir haben im Blog darüber berichtet) fast komplett übereinstimmen. Hinzu kommt eine Verschlüsselungsroutine des von ESET hergestellten Verschlüsselungsprogramms DiskCryptor. Bislang ist noch keine Möglichkeit bekannt, einmal mit Bad Rabbit codierte Daten wieder lesbar zu machen, ohne das verlangte Lösegeld zu bezahlen – wovon viele Sicherheitsexperten in solchen Fällen üblicherweise abraten.

Schutz vor Watering-Hole-Angriffen dieser Art bieten in den meisten Fällen aktuelle Virenscanner. Trotzdem: Wenn ein neuer Schadcode auftaucht, wird dieser vielleicht nicht sofort erkannt. Daher ist es wenig sinnvoll, sich allein auf die Technik zu verlassen. Wer auf Nummer sicher gehen will, installiert keine unbekannten Programme oder Updates, die nicht von offiziellen Seiten stammen und surft nicht mit Administratorenrechten. Wenn dann noch eine gesunde Portion Vorsicht hinzukommt, sollte man vor Ransomware weitestgehend sicher sein.