Achtung! Böses Kaninchen unterwegs

Chris Carlson VP, Product Management, Cloud Agent Platform Qualys

Am 24. Oktober 2017 wurde eine Ransomware-Variante namens Bad Rabbit entdeckt, die sich schnell ausbreitet. Sie befiel zunächst russische und ukrainische Unternehmen und Behörden und wird von Sicherheitsforschern weltweit genau beobachtet und verfolgt. Es ist noch nicht bekannt, ob Bad Rabbit eine Variante von Petya/NotPetya ist oder wie WannaCry die EternalBlue-Schwachstelle ausnutzt, um sich seitwärts auszubreiten. Jedoch stellen die Forscher fest, dass Bad Rabbit mithilfe von Mimikatz lokale Login-Daten abgreift, um zu versuchen, sich via SMB seitwärts zu verbreiten.

Qualys hat zwei Blog-Posts mit Informationen zu Bad Rabbit veröffentlicht:

Allgemeine Blog-Site: https://blog.qualys.com/news/2017/10/24/bad-rabbit-ransomware 

Threat Protection-Blog, verlinkt über den TP-Feed:  https://threatprotect.qualys.com/2017/10/24/bad-rabbit-ransomware/ 

Wie infiziert Bad Rabbit Rechner, und was kann ich tun, um Infektionen festzustellen? 

  • Bad Rabbit greift nur Windows-Betriebssysteme an
  • Bad Rabbit setzt keinen Exploit gegen eine Schwachstelle ein, um Rechner zu infizieren oder sich auszubreiten – somit ist weder eine Schwachstellenerkennung noch ein Patch verfügbar 
  • Der Rechner wird infiziert, wenn ein Benutzer eine infizierte Website besucht und im Browser auf einem gefälschten Pop-up, das sich als Adobe Flash Player Update-Installer tarnt, auf „Installieren“ klickt 
  • Qualys VulnSigs hat die QID 1043 herausgegeben, um mittels VM-Scans Rechner zu finden, die bereits mit Bad Rabbit infiziert sind
  • Qualys IOC kann genutzt werden, um die mit Bad Rabbit assoziierten Datei-Hashes (vgl. die Qualys Blog-Posts) auf bereits infizierten Rechnern zu finden, auf denen Cloud Agent läuft und für IOC aktiviert ist. Dies gilt auch dann, wenn die Rechner schon früher infiziert wurden und sich nicht mehr im Netzwerk befinden (da die IOC-Dateiereignisse zur Abfrage auf der Qualys-Plattform gespeichert werden)

Was empfiehlt Qualys?

1. Es ist wichtig, mittels VM-Scans auf die QID 1043 oder mittels Qualys IOC sämtliche Rechner zu finden (jetzt und künftig), die mit Bad Rabbit infiziert sind/verschlüsselt wurden, um den Umfang und die Folgen eines Angriffs zu ermitteln und Maßnahmen zur Abhilfe/Eindämmung einzuleiten 

2. Wenn Rechner von Endanwendern mit Ransomware infiziert sind, ist das leicht an den Dialogfenstern erkennbar, die erscheinen, um Lösegeld zu fordern. Bei Servern, Geräten mit festgelegter Funktion und Cloud-Instanzen wird die Infektion/Verschlüsselung dagegen vielleicht erst bemerkt, wenn sie nicht mehr richtig funktionieren, weil verschlüsselte Dateien und Anwendungen nicht länger ausgeführt werden

3. Mit der VM Scan QID 1043 oder Qualys IOC können die Kunden infizierte/verschlüsselte Rechner finden, bevor sie die Geschäftsabläufe des Unternehmens beeinträchtigen

Wie können die Kunden Bad Rabbit blocken oder verhindern? 

  • Zum Zeitpunkt der Abfassung dieser E-Mail stellen (laut VirusTotal), nur 31 von 66 Antivirus-Produkten Erkennungssignaturen für Bad Rabbit bereit. Auch führende AV-Anbieter und Next-Gen AV-Anbieter erkennen die Infektion nicht unbedingt
  • Die Kunden können Windows Gruppenrichtlinien erstellen, um zu verhindern, dass die ermittelten Bad Rabbit-Anwendungen ausgeführt werden (Benutzerkonfiguration/Administrative Vorlagen/System/Die angegebenen Windows-Anwendungen nicht ausführen)
  • Die Ransomware wird mithilfe eines Social-Engineering-Angriffs installiert, der den Benutzer dazu bringt, einer gefälschten Installationsaufforderung nachzukommen. Deshalb sollten Unternehmen ihre Benutzer per Mail anweisen, Adobe Flash Player-Updates nicht anzuklicken
  • Falls Bad Rabbit eine Systemumgebung infiziert, sollte das betroffene Unternehmen neue Backups für alle Benutzerrechner und Server anstoßen 

Die Blogposts werden aktualisiert.

 

Diesen Artikel empfehlen