Achtung: #BadRabbit-Ransomware-Ausbruch in Osteuropa

[English]Dringende Warnung an alle Administratoren in Firmenumgebungen. In Osteuropa findet gerade ein Ausbrauch einer BadRabbit genannten Ransomware statt. Betroffen sind Windows-System und Netzwerke in Firmenumgebungen. Ergänzung: Möglicherweise ist ein Killswitch gefunden.


Anzeige

Im Frühsommer haben wir ja den Angriff der NotPetya-Ransomware aus der Ukraine erlebt (siehe WannaCry Clone Ransomware befällt Systeme in der Ukraine), die über eine kompromittierte Steuersoftware M.E.Doc per Update verbreitet wurde und vor allem Unternehmen mit Verbindungen in die Ukraine betraf. Vor wenigen Tagen hatte ich den Artikel Warnung vor neuem NotPetya-ähnlichem Cyber-Angriff im Blog, wo genau vor einer Wiederholung dieses Szenarios gewarnt wurde.

BadRabbit-Ransomware-Ausbruch

Genau dieser Ausbruch scheint jetzt stattgefunden zu haben. Bei Bleeping Computer berichtet man über die BadRabbit-Ransomware, die wohl seit wenigen Stunden in vielen osteuropäischen Ländern verheerende Schäden angerichtet hat. Es sind sowohl Regierungsbehörden als auch private Unternehmen betroffen. Aktuell verbreitet sich die Infektion wohl in Ländern wie Russland, die Ukraine, Bulgarien und der Türkei.

Zu den bestätigten Opfern gehören der Flughafen Odessa in der Ukraine, das U-Bahn-System von Kiew in der Ukraine, das ukrainische Ministerium für Infrastruktur und drei russische Nachrichtenagenturen, darunter Interfax und Fontanka. Das ukrainische CERT-Team hat eine Warnmeldung veröffentlicht und warnt ukrainische Unternehmen vor diesem neuen Ausbruch.

Verbreitung per Fake Flash-Update

Antivirushersteller ESET schreibt in einem Tweet, dass die Verbreitung per Fake Flash-Update erfolgt.


Anzeige

Auch Proofpoint-Sicherheitsforscher bestätigen diesen Ansatz und sagen, dass Bad Rabbit ursprünglich über ein Fake Flash Update verbreitet wurde.

Proofpoint schreibt aber weiter, dass die Ransomware mit Tools daher komme, die die weitere Verbreitung über ein Netzwerk ermögliche. Dies bewirkte, dass sich die Ransomware binnen kurzer Zeit über komplette Organisationen ausbreiten kann.

Ausbreitungsweg und Schadroutine

Basierend auf ersten Analysen von ESET, Emsisoft und Fox-IT nutzt Bad Rabbit Mimikatz, um Zugangsdaten aus dem lokalen Speicher des Systems zu extrahieren, hat aber auch fest codierte Zugangscodes. Damit versucht die Ransomware sich über weitere Server und Workstations per Netzwerk zu verbreiten.

Die Ransomware verwendet wohl DiskCryptor (eine Open Source-Verschlüsselungssoftware), um die Dateien zu verschlüsseln (wurde beim Angriff auf das Nahverkehrssystem in San Francisco verwendet, siehe ÖPNV-Hack in San Franzisko). Sobald Bad Rabbit die Infektion erledigt hat, startet es den PC des Benutzers neu. Im modifizierten Master Boot Record (MBR) findet sich dann Code, der eine Lösegeld-Forderung anzeigt.

Vom Opfer wird der Zugriff auf eine Seite im Tor-Netzwerk gefordert. Dort wird er zur Zahlung eines Lösesgelds in Höhe von 0,05 Bitcoin (ca. $280) aufgefordert. Die Opfer haben etwas mehr als 40 Stunden Zeit, bis die Lösegeldsumme steigt. Die Lösegeldforderung ist fast identisch mit der, die NotPetya bei dem Ausbruch im Juni verwendet hat. Trotzdem gibt es wenig Ähnlichkeit mit NotPetya. Sicherheitsforscher Intezer behauptet, dass es nur 13% Übereinstimmung des Code zwischen Bad Rabbit und NotPetya gibt. Ein paar zusätzliche Informationen kann man dem Bleeping Computer-Beitrag entnehmen.

Ergänzungen: Erste Analysen

Der Beitrag ist die Nacht entstanden – inzwischen gibt es Blog-Beiträge diverser Sicherheitsfirmen zum Angriff. Malwarebytes hat in diesem Blog-Beitrag einige Details offen gelegt. Hier ist die Anzeige, die nach der Infektion erscheint.

Bad Rabbit Meldung

Und dies ist die Webseite im Tor-Netzwerk, auf der die Betroffenen weitere Informationen finden. Dort erscheint auch der Counter mit der Restzeit, bevor der Preis für das Lösegeld steigt.

Bad Rabbit Tor-Seite

Die Infektion startet mit einer PE-Datei (dem gefakten Flash Player Update). Dann kommt wohl eine infpub.dat ins Spiel (ähnlich, wie bei NotPetya), die zwei Funktionen als DLL exportiert. Die erste enthält den Dropper, der die Malware (den Infector) auf andere Rechner im LAN verteilt. Unter anderem wird WMIC verwendet, um die Module auf entfernten Rechnern einzusetzen. Der verantwortliche Code ähnelt den Elementen von Petya/NotPetya.

Dann wird versucht, Anmeldedaten für Maschinen aus dem Speicher mittels eines Mimikatz-Moduls zu ermitteln. Parallel dazu hat dieses Modul noch eine Liste generischer Anmeldedaten gespeichert, die ebenfalls probiert werden.

Anmeldedaten

Ein EternalBlue Exploit ist damit zur Verbreitung nicht erforderlich. Die Verschlüsselung der Dateien erfolgt über eine DLL mit Hilfe der Windows Crypto API. Dabei bleiben die folgenden Verzeichnisse ausgespart.

\\Windows
\\Program Files
\\ProgramData
\\AppData

Auf Pastbin sind die Dateinamen der verschlüsselten Dateien angegeben.

ESET schreibt auf welivesecurity.com, dass eine der Distributionsmethoden von Bad Rabbit ein Drive-by-Download per Watering-Hole verwendet. Einige beliebte Websites sind kompromittiert und enthalten JavaScript in ihren HTML-Dateien oder in einer ihrer js-Datei injiziert. Ergänzung: Hier eine Liste infizierter Medienseiten.

Dort gibt man an, dass der Win32/Diskcoder.D genannte Schädling sich per SMB verbreiten kann – wobei kein EthernalBlue-Exploit verwendet werde. ESET gibt folgende Infektionsstatistik an:

  • Russia: 65%
  • Ukraine: 12.2%
  • Bulgaria: 10.2%
  • Turkey: 6.4%
  • Japan: 3.8%
  • Other: 2.4%

Noch ist das Ganze auf den Osten Europas und Japan begrenzt. Vom US-CERT gibt es nun diese Warnung. Und bei heise.de findet sich dieser Beitrag.

Möglicher Killswitch

Inzwischen haben Sicherheitsforscher angeblich auch Wege gefunden, die Ausbreitung des Schädlings auf Windows-Rechnern zu unterbinden. In diesem Tweet werden einige Ansätze beschrieben.

Es sollen angeblich die folgenden Dateien angelegt und die Zugriffsrechte entzogen werden:

c:\windows\infpub.dat
c:\windows\cscc.dat

Damit kann die Schadsoftware nicht mehr auf ihre Export-DLL sowie auf die Kontrolldatei zugreifen. Die cscc.dat ist der umbenannte dcrypt.sys-Treiber zur Verschlüsselung. Ergänzung: Die Information findet sich in diesem Blog-Beitrag, wo eine detaillierte Anleitung zu finden ist. Ergänzung: Auch Kaspersky hat hier einige Details offen gelegt. Ein weiterer Benutzer gibt die folgenden Dateien an, denen er die Benutzerrechte entzogen hat.

%windir%\infpub.dat
%windir%\dispci.exe

Das Ganze ist unter Vorbehalt zu sehen, ich kann und werde es nicht testen.

Nachtrag 1: Laut diesem Tweet will Kaspersky die verschlüsselten Dateien erfolgreich entschlüsselt haben. Kaspersky hat hier einige Details zum Verschlüsselungstrojaner offen gelegt (dort habe ich aber noch nichts zur Entschlüsselung gefunden). Allerdings gibt Kasperky im Beitrag explizit an, dass Infektionen in Deutschland festgestellt wurden – das Thema spielt also nicht mehr im fernen Osteuropa oder in Russland. Weitere Analysen finden sich bei Talos und bei Bitdefender.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Achtung: #BadRabbit-Ransomware-Ausbruch in Osteuropa

  1. Peter sagt:

    Und wie kommt dieses Fake-Flash-Update auf den Rechner?
    Per E-Mail?
    Per Aufruf einer kompromittierten Website?

    Wie es sich im LAN verbreitet wurde ja skizziert, aber nicht wie es initial dort hinein kommt.

  2. Dieter Schmitz sagt:

    c:\windows\infpub.dat
    c:\windows\cscc.dat

    Was ist denn in der Datei enthalten?

    Wenn ich eine leere Datei anlege, ist deren Grösse 0 Bytes.

    Auf der verlinkten Webseite sieht man aber, dass diese Dateien eine Grösse von 1 KB haben!

    • Günter Born sagt:

      Die Datei infpub.dat der Ransomware ist eine verkappte DLL. Aber der Trick ist ein anderer (wenn ich nichts übersehen habe) – sobald ich der Datei die Zugriffsrechte entziehe, kann die Schadsoftware nicht mehr darauf zugreifen, erkennt also auch nicht mehr, dass diese leer ist. Eine eigene infpub.dat im Verzeichnis anlegen dürfte auch nicht mehr gehen. Dann bleibt die Software hängen oder stürzt ab. Könnte sich natürlich in Zukunft ändern, wenn die Malware-Autoren pfiffiger werden.

  3. Teletom sagt:

    Und tatsächlich scheint auch Adobe wieder ein echtes Flash-Player Update veröffentlicht zu haben, das 2. oder 3. diesen Monat?
    27.0.0.183

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.