Maifeiertag! Maifeiertag! Ein weiterer Ausbruch einer neuen Ransomware hat die große Infrastruktur der Ukraine und Russlands getroffen, darunter mehrere Transportunternehmen sowie viele Regierungsorganisationen, und wird unter dem Namen "Bad Rabbit" geführt .
Medienberichten zufolge wurden viele Computer mit diesem Cyberangriff verschlüsselt. Öffentliche Quellen haben bestätigt, dass die Computersysteme von Kiev Metro sowie der Flughafen Odessa und andere zahlreiche Organisationen aus Russland betroffen sind.
Die für diesen Cyber-Angriff verwendete Malware war "Disk Coder.D" - eine neue Variante der Ransomware, die im Volksmund unter dem Namen "Petya" lief. Der vorherige Cyber-Angriff von Disk Coder hat im Juni 2017 weltweit zu Schäden geführt.
ESET über Bad Rabbit.
Das Telemetriesystem von ESET hat zahlreiche Vorkommen von Disk Coder gemeldet. D Innerhalb Russlands und der Ukraine werden jedoch auch Computer aus der Türkei, Bulgarien und einigen anderen Ländern von diesem Cyberangriff heimgesucht.
An einer umfassenden Analyse dieser Malware arbeiten die Sicherheitsforscher von ESET derzeit. Nach ihren vorläufigen Feststellungen, Disk Coder. D verwendet das Mimikatz-Tool, um die Anmeldeinformationen von den betroffenen Systemen zu extrahieren. Ihre Ergebnisse und Analysen dauern an und wir werden Sie auf dem Laufenden halten, sobald weitere Einzelheiten bekannt gegeben werden.
Das ESET-Telemetriesystem teilt außerdem mit, dass die Ukraine nur 12, 2% der gesamten Infiltrationshäufigkeit von Bad Rabbit ausmacht. Nachfolgend die restlichen Statistiken:
- Russland: 65%
- Ukraine: 12, 2%
- Bulgarien: 10, 2%
- Türkei: 6, 4%
- Japan: 3, 8%
- Sonstige: 2, 4%
Die vorgenannte Länderverteilung wurde von Bad Rabbit entsprechend beeinträchtigt. Interessanterweise wurden alle diese Länder gleichzeitig getroffen. Es ist sehr wahrscheinlich, dass die Gruppe bereits im Netzwerk der betroffenen Organisationen Fuß gefasst hat.
Das Wie.
Die für Bad Rabbit verwendete Verteilungsmethode ist "Drive-By-Download". Einfacher ausgedrückt ist ein Drive-by-Download ein unbeabsichtigtes Download-Popup, das auf Websites oder per E-Mail angezeigt wird. In diesen Fällen behauptet der „Anbieter“, dass der Nutzer diesem bestimmten Download „zugestimmt“ hat, obwohl der Nutzer überhaupt nicht wusste, dass er einen unerwünschten oder bösartigen Software-Download gestartet hat.
Ähnliches gilt für den Fall Bad Rabbit. Bislang wurde ein Popup-Fenster angezeigt, in dem Sie aufgefordert werden, eine aktualisierte Version von Adobe Flash Player herunterzuladen (siehe Abbildung unten).
Sobald jemand den Download-Button drückt, wird eine ausführbare Datei heruntergeladen. Diese ausführbare Datei, dh install_flash_player.exe, ist der Dropper für Bad Rabbit. Letztendlich wird der Computer gesperrt und der Lösegeldschein wird wie folgt angezeigt.
Außerdem sieht die Zahlungsseite von Bad Rabbit ungefähr so aus.
Im Folgenden sind die gefährdeten Websites aufgeführt.
- hxxp: // argumentirucom
- hxxp: //www.fontankaru
- hxxp: // grupovobg
- hxxp: //www.sinematurkcom
- hxxp: //www.aica.cojp
- hxxp: // spbvoditelru
- hxxp: // argumentiru
- hxxp: //www.mediaportua
- hxxp: //blog.fontankaru
- hxxp: // an-crimearu
- hxxp: //www.t.ksua
- hxxp: // most-dneprinfo
- hxxp: //osvitaportal.comua
- hxxp: //www.otbranacom
- hxxp: //calendar.fontankaru
- hxxp: //www.grupovobg
- hxxp: //www.pensionhotelcz
- hxxp: //www.online812ru
- hxxp: //www.imerro
- hxxp: //novayagazeta.spbru
- hxxp: //i24.comua
- hxxp: //bg.pensionhotelcom
- hxxp: // ankerch-crimearu
Was jetzt?
Cyber-Attacken haben sich heute zu vielen Gesichtern entwickelt. Das Internet ist kein sicherer Ort mehr, weshalb die Verwendung eines authentischen VPN dringend empfohlen wird. vor allem, wenn Sie eine Verbindung zu einem öffentlichen WLAN herstellen.
Erstellen Sie mit Ivacy VPN, dem branchenweit führenden VPN-Dienstanbieter, einen sicher verschlüsselten Tunnel zwischen Ihnen und dem Internet, und übernehmen Sie die Kontrolle über Ihre Online-Präsenz und schützen Sie Ihre wertvollen Daten.
