Vor allem in Osteuropa, insbesondere in Russland und der Ukraine, hat ein neuartiger Verschlüsselungstrojaner für erhebliches Aufsehen gesorgt und u. a. den Nachrichtendienst Interfax weitgehend lahmgelegt. Der auf den Namen Bad Rabbit getaufte Schädling richtete dabei beträchtliche Schäden an, breitet sich weiter aus und könnte auch hierzulande zur Gefahr werden, weshalb besondere Wachsamkeit angeraten ist.
Verschlüsselungstrojaner haben in diesem Jahr bereits mehrfach erhebliche Schäden angerichtet. Attacken wie bei WannaCry oder Petya hatten beispielsweise große Konzerne weitgehend lahmgelegt und langwierige Beeinträchtigungen verursacht oder auch massive Störungen in Krankenhäusern ausgelöst.
Diese Krypto-Trojaner verschlüsseln dabei Daten auf den befallenen Rechnern und macht die PCs dadurch teilweise auch komplett unbrauchbar. Zur Wiederherstellung wird ein Lösegeld verlangt, das mittels anonymer Bezahlverfahren (etwa per Bitcoins) entrichtet werden soll.
Neuer Übertragungsweg für Erpressungstrojaner
Bei dem neuen, weitgehend zielgerichteten Angriff setzen die Hacker auf die sogenannte Watering-Hole-Methode.
Hierbei werden Webseiten manipuliert, von denen bekannt ist, dass die anvisierte Zielgruppe diese mehr oder weniger regelmäßig besucht.
- Nach den Analysen von IT-Sicherheitsunternehmen wie Trend Micro oder Kaspersky wurden bei dem Bad-Rabbit-Angriff auf den manipulierten Webseiten Skripte eingebaut, die auf Downloadseiten für den Flash Player führten.
- Wer hier die angebotene EXE-Datei startet, wird mit der Malware infiziert, denn statt des Flash Players wird die Schadsoftware übertragen.
- Voraussetzung für das Ausführen dieser Datei sind allerdings Administrator-Rechte des jeweiligen Nutzers.
Parallelen des bösen Kaninchens zu anderen Schädlingen
Nach der Infektion beginnt die Schadsoftware mit der Verschlüsselung von Daten, wobei sie sich am Programmcode einer regulären Verschlüsselungssoftware orientiert.
Die Umsetzung ist dabei weitgehend fehlerfrei gelungen, sodass
- ein Entschlüsseln zumindest derzeit tatsächlich nur mittels des passenden Schlüssels möglich ist,
- den die Angreifer nach der Lösegeldzahlung bereitstellen wollen.
Andere Elemente von Bad Rabbit haben die Entwickler vom Trojaner NotPetya abgekupfert, der vor einigen Monaten etliche Computersysteme lahmgelegt hatte.
Wie schützt man sich?
Das IT-Sicherheitsunternehmen Kaspersky rät den Nutzern seiner Sicherheitslösungen:
Stellen Sie sicher, dass System Watcher und Kaspersky Security Network ausgeführt werden. Sollte das nicht der Fall sein, sollten die Features unbedingt aktiviert werden.
Anderen Nutzern:
- Blockieren Sie die Ausführung der Dateien c:\windows\infpub.dat und c:\Windows\cscc.dat.
- Falls möglich, deaktivieren Sie WMI auf Ihrem Windows-System, um zu verhindern, dass sich die Malware über Ihr Netzwerk ausbreitet.
Ausbreitung weiter möglich
Obwohl der Schwerpunkt der Attacken bislang vor allem in Russland und der Ukraine lag, gibt es mittlerweile mehrere Berichte, nach denen auch in anderen Ländern wie etwa Irland, Dänemark, der Türkei oder auch Deutschland Angriffe dieser Art entdeckt wurden. Generell muss man davon ausgehen, dass sich erfolgreiche Attacken schnell auf weitere Länder ausbreiten, sodass auch hierzulande von einer erhöhten Gefährdungslage auszugehen ist.
Bei diesen Warnzeichen vorsichtig bleiben
- Wenn Sie in diesen Tagen beim Aufruf von Webseiten aufgefordert werden, ein Update für den Flash-Player vorzunehmen, sollten Sie diese Aufforderung tunlichst ignorieren, denn dahinter könnte sich der „böse Hase“ verbergen.
- Bislang forderten die Erpresser von den Opfern die Zahlung von 0,05 Bitcoin, was umgerechnet rund 240 EUR entspricht. Die meisten Experten raten allerdings generell von der Zahlung derartiger Lösegelder ab, da es niemals sicher ist, ob der versprochene Schlüssel zur Wiederherstellung der Daten tatsächlich auch geliefert wird.
- Zudem ist nicht immer ist die Erpressung von Lösegeld tatsächlich das eigentliche Ziel eines Verschlüsselungstrojaners. Mitunter werden diese Tools primär zur Sabotage eingesetzt, etwa um die Angriffsziele lahmzulegen.
Weitere News zum Thema:
Cyber- Angreifer und Erpressern: so schützen Sie sich
Attacke mit dem Krypto-Trojaner WannaCry - Taktik und Folgen
Hintergrund:
Veraltete Software und Schwachstellen im Schutzschild der Software können fatale Folgen haben angesichts der Vielzahl der Attacken, denen besonders größere Unternehmen ständig ausgesetzt sind.
Bei diesen Angriffen wird über E-Mails oder auch infizierte Webseiten Schadcode auf die Rechner der potenziellen Opfer übertragen, die eine Verschlüsselungssoftware nachlädt, die anschließend alle erreichbaren Dokumente so verschlüsselt, dass diese nicht mehr geöffnet werden können.
Die Nutzungsverhinderung erfolgt zumeist durch Verschlüsselung sämtlicher Daten (Briefe, Datenbanken, Fotos, Systemdateien). So kann ein Unternehmen oder ein Selbständiger zumindest vorübergehend faktisch stillgelegt und auch leicht erpresst werdenwerden.
Speziell für Behörden und Unternehmen haben die Experten vom Bundesamt für Sicherheit in der Informationstechnik (BSI) einen kompakten Leitfaden herausgegeben, der sich mit dieser Bedrohungslage auseinandersetzt. Die Broschüre stellt zunächst die Bedrohungslage dar und beschreibt anschließend vor allem Präventionsmaßnahmen, mit denen das Risiko zum Opfer derartiger Angriffe zu werden, minimiert werden kann.
- Das Zahlen der Lösegeldforderung lehnen Experten ab, da nicht sichergestellt sei, dass man die notwendigen Schlüssel tatsächlich auch bekomme.
- Allerdings haben in letzter Zeit die Erpresser in den meisten Fällen tatsächlich auch die notwendigen Passwörter geliefert, wohl auch um dieses „Geschäftsmodell“ aufrecht zu erhalten.
Die Broschüre steht als PDF-Datei auf der BSI-Website zum Download bereit.