Ransomware Bad Rabbit breitet sich weltweit aus

WannaCry und Petya lassen grüßen: Mit Bad Rabbit treibt aktuell eine neue Ransomware-Welle weltweit ihr Unwesen. Wie verschiedene Security-Experten berichten, habe der Erpressertrojaner mehrere russische Medienkanäle infiziert, darunter auch die Nachrichtenagentur Interfax und Fontana.ru. Der Flughafen Odessa sowie die Kiewer Metro meldeten ebenfalls Angriffe auf ihre Informationssysteme. Aktuell sei die Schadsoftware vor allem in Russland und Osteuropa aktiv, allerdings habe man auch Angriffe in Deutschland sowie in der Türkei und den USA verzeichnet. Die Ransomware-Attacke soll es vor allem auf Unternehmensnetzwerke abgesehen haben.

Bad Rabbit verschlüsselt die lokalen Dateien des Opfers und verlangt anschließend ein Lösegeld in Höhe von 0,05 Bitcoin – umgerechnet sind das zum derzeitigen Wechselkurs rund 280 US-Dollar.

Auf die Systeme der Opfer gelangt Bad Rabbit laut Kaspersky Lab über einen sogenannten Drive-by-Angriff. Hierbei laden Nutzer auf einer korrumpierten Webseite ein gefälschtes Adobe-Flash-Installationsprogramm herunter. Beim manuellen Ausführen der EXE-Datei erfolgt anschließend die Infektion. Sobald die Ransomware einen Computer infiziert hat, versucht sie, sich innerhalb des verbundenen Netzwerks zu verbreiten, um weitere Computer zu befallen. BadRabbit verfügt hierzu über eine Reihe von Standard-Login- und Passwortkombinationen, die für die Weiterverbreitung im lokalen Netzwerk verwendet werden. Darüber hinaus nutzt die Ransomware das Tool Mimikatz, um andere Login-Daten von infizierten Benutzer zu erlangen.

Die meisten gängigen Virenscanner dürften Bad Rabbit mittlerweile erkennen und abwehren, vorausgesetzt die aktuellen Virensignaturen sind installiert. Darüber hinaus können Nutzer laut Avast ein Ausführen der Ransomware verhindern, indem sie eine Datei mit dem Pfad C:\Windows\cscc.dat erstellen. Es genügt entsprechend, eine neue TXT-Datei anzulegen und dieser den Namen cscc.dat zu geben. Anschließend muss die Datei unter C:\Windows\ gespeichert werden. Für diesen Vorgang sind allerdings Adminrechte erforderlich.