Die Killer-Kaninchen-Epidemie
26. Oktober 2017In unterschiedlichen Zeitabständen machen „neue“ Erpressungstrojaner auf sich aufmerksam. Das „Geschäftsprinzip“ dahinter ist relativ einfach gestrickt: IT-Systeme werden infiziert, und die Dateien und Systeme heimlich im Hintergrund verschlüsselt und damit (zunächst) unbrauchbar gemacht Im Anschluss daran präsentiert die Schadsoftware eine entsprechende Meldung mit einem „Erpresserschreiben“. So sollen die verschlüsselten Daten nach Zahlung eines Lösegelds wieder lesbar gemacht werden, als (beinahe) nicht zurück verfolgbare Zahlungsmodalität werden in der Regel Krypto-Währungen (Bitcoin) oder Prepaid-Systeme („U-Cash“ oder „PaysaveCard“) verlangt. Derzeit nutzten die Erpresser mit der Ransomware „BadRabbit“ ältere Programmcodes und setzt bei der Verbreitung auf bereits bekannte Sicherheitslücken (EternalBlue-Exploit). Momentan verbreitet sich dieser Trojaner in Osteuropa, dazu ein Kommentar von Patrice Puichaud, Senior Director EMEA bei SentinelOne:
„Wie unsere Analyse ergeben hat, ist BadRabbit eine neue und unbekannte Ransomware, deren Code aber zu 13 Prozent mit dem Petya-Code übereinstimmt. Der Dropper wird dabei von Nutzern beim Besuch infizierter Websites heruntergeladen und erscheint als Flash Player-Installer (install_flash_player. exe). Einmal ausgeführt, verhält sich BadRabbit wie eine herkömmliche Ransomware, verschlüsselt Dateien und verlangt ein Lösegeld, um sie zu entschlüsseln. Darüber hinaus wird wie bei Petya/NotPetya auch der Bootloader modifiziert.
Die Ransomware hat es dabei besonders auf Russland und die Ukraine abgesehen. Laut ESET stammen 65 Prozent der Opfer aus Russland, 12,2 Prozent aus der Ukraine und auch Länder in Osteuropa, der Türkei und Japan waren in ihrem im Visier. Da der Ursprung des Angriffs in Russland liegt, dürfte BlackRabbit bis zum Erreichen der USA jedoch bekannt sein und sowohl von signaturbasierten Antivirenprogrammen als natürlich auch von Signatur-unabhängigen Lösungen erkannt werden.“
Florian Huttenloher