Was ist BadRabbit Ransomware und wie schützt man sich davor?
Dank der Schlagzeilen wurde Ransomware in den Jahren 2016 und 2017 zu einem heißen Nachrichtenthema Ich könnte heulen Und Nicht Petya Viren.BadRabbitist ein weiteres Ransomware-System, das kurz nach diesen bekannteren Angriffen im Umlauf war
Das vermuteten einige Cybercrime-AnalystenBadRabbitwar mit diesen beiden berühmten Ransomware-Viren verwandt, da es starke Ähnlichkeiten gab.
Die Hauptziele der ersten Razzia der BadRabbit-Ransomware waren in Ukraine . Dies geschah in einer Zeit starker Spannungen zwischen Russland und der Ukraine. Mittlerweile ist bekannt, dass die Ransomware NotPetya im Auftrag von Russischer Militärgeheimdienst und wurde gegen die Ukraine eingesetzt. BadRabbit schien die zweite Welle desselben Angriffs zu sein.
NotPetya- und BadRabbit-Ransomware
2017 war ein großes Jahr für Ransomware. Vor diesem Jahr hatte fast niemand außerhalb des kleinen Fachgebiets der Cybersicherheit eine Ahnung, was Ransomware ist. WannaCry hat das alles geändert. Es wurde zu einer internationalen Sensation und sorgte in allen Nachrichtenmedien auf der ganzen Welt für Schlagzeilen. Direkt auf WannaCry folgte Petya, das die Wirtschaft der Ukraine in Mitleidenschaft zog und ihre öffentlichen Dienste und Banken kaperte.
Trotz erster Anzeichen wurde die Petya-Angriffskampagne im Jahr 2017 nicht mit der Petya-Ransomware umgesetzt. verlassen von seinem Schöpfer. Dieser Ransomware-Angriff, der eindeutig auf die Ukraine abzielte, konnte nicht einmal die auf den Computern der Opfer angezeigte Lösegeldforderung eintreiben. Es war gefälschte Ransomware, und Analysten erkannten, dass es nicht Petja war. Stattdessen handelte es sich um ein neues Ransomware-System, das auf dem Code von Petya basierte. Es wurde umbenannt Nicht Petya .
Der erste Angriff von NotPetya erfolgte im Juni 2017. Als der erste BadRabbit-Angriff im Oktober 2017 erfolgte, stellten Forscher erneut Ähnlichkeiten zwischen NotPetya und BadRabbit fest. Darüber hinaus kamen sie zu dem Schluss, dass es sich bei dem System durchaus um eine Variante von NotPetya handeln könnte. Um 67 Prozent Der Code der Ransomware BadRabbit stammte von NotPetya.
Die Hauptähnlichkeit zwischen WannaCry und NotPetya bestand darin, dass sie das verschlüsselten Hauptdateitabelle , was den Zugriff auf alle Dateien unmöglich macht, ohne dass Dateien tatsächlich einzeln verschlüsselt werden müssen. BadRabbit macht das auch. Außerdem überschreibt BadRabbit in einer direkten Kopie von NotPetya die Master Boot Record um es unmöglich zu machen, das System neu zu starten und über den abgesicherten Modus aufzurufen.
NotPetya und BadRabbit konzentrierten ihre Angriffe beide auf die Ukraine. Das von beiden geforderte Lösegeld war ähnlich hoch – 300 $ in Bitcoin . Während beide Systeme in Russland und anderen Ländern angegriffen haben, war die Zahl der Angriffe auf die Ukraine erheblich. Bei allen drei dieser Ransomware-Angriffe im Jahr 2017 konzentrierten sich ihre Angriffe auf Windows Systeme.
Unterschiede zwischen BadRabbit und NotPetya
Es gibt einige entscheidende Unterschiede zwischen WannaCry und Nicht Petya in einem Lager und BadRabbit in einem anderen. Sowohl WannaCry als auch NotPetya nutzten das EternalBlue ausnutzen, um sich in Windows-basierten Netzwerken zu bewegen – BadRabbit verfügt nicht über diese Funktion. BadRabbit wurde über eine Fälschung verbreitet Adobe Flash Update, während WannaCry und NotPetya sich über infizierte E-Mail-Anhänge verbreiten.
Die Lösegeldforderung für NotPetya forderte die Opfer auf, sich für Anweisungen an eine E-Mail-Adresse zu wenden – eine Adresse, die nicht aktiv war, was bei Sicherheitsanalysten den Verdacht weckte, dass NotPetya nur aktiv sei als Ransomware getarnt hatte aber eine andere Motivation. Später stellte sich heraus, dass dieser Zweck militärischer Natur war.
BadRabbit ist ein echter Ransomware-Angriff; Die Verantwortlichen hatten die Absicht, dies zu tun Geld sammeln . Eine weitere Besonderheit von BadRabbit besteht darin, dass es Druck auf die Opfer ausübt eine Zahlungsfrist . Nach Ablauf einer festgelegten Frist erhöht sich das Lösegeld.
BadRabbit nutzt den EternalBlue-Exploit nicht, um sich in einem Netzwerk zu bewegen, da dieser Exploit durch ein Windows-Update geschlossen wurde. EternalBlue hat eine Sicherheitslücke ausgenutzt Server-Nachrichtenblock (SMB)-Prozesse innerhalb des Windows-Betriebssystems. Ohne diesen Kanal zu nutzen, nutzten die Entwickler von BadRabbit Ewige Romantik . Dieser andere Hack wurde verwendet Befehlszeile der Windows-Verwaltungsinstrumentation (WMIC) in Verbindung mit der beabsichtigten Verwendung von SMB zur Übertragung auf andere Computer über ein Netzwerk.
Wie beginnt ein BadRabbit-Angriff?
Die Hacker hinter BadRabbit haben normalerweise zusätzlichen Code in legitime Websites eingeschleust Nachrichtenseiten . Die Injektion war JavaScript Code, der in den HTML-Code der Website oder eine ihrer .js-Dateien eingefügt wird. Das zusätzliche Programm erzeugte ein Popup, das fälschlicherweise behauptete, es habe ein Problem mit der Version des Flash Media Players des Besuchers festgestellt, und leitete ihn dann zu einem Downloader für die neueste Version des Dienstprogramms. Bei diesem Download handelte es sich um das Installationsprogramm für die Ransomware BadRabbit.
Was passiert bei einem BadRabbit-Ransomware-Angriff?
Der Verschlüsselungsprozess von BadRabbit besteht aus zwei Teilen. Eine Methode verschlüsselt jede Datei einzeln. Dies geschieht mit AES-Verschlüsselung mit einem 128-Bit-Schlüssel und einem RSA-Verschlüsselung mit einem 2056-Bit-Schlüssel. Alle Dateien werden mit demselben Schlüssel verschlüsselt.
Das RSA-System ist ein asymmetrisch Chiffre – Der zum Entschlüsseln eines Textes benötigte Schlüssel unterscheidet sich von dem Schlüssel, der zum Verschlüsseln verwendet wird. Sie können den Entschlüsselungsschlüssel nicht vom Verschlüsselungsschlüssel ableiten. Daher ist es sicher, den Verschlüsselungsschlüssel preiszugeben, der als öffentlicher Schlüssel bezeichnet wird. Der Verschlüsselungsschlüssel für die BadRabbit-Dateiverschlüsselung lautet hartcodiert in das Programm ein.
Der Verschlüsseler generiert eine eindeutige ID für den Angriff.
Der andere Teil des BadRabbit-Ransomware-Angriffs verschlüsselt die Laufwerke Hauptdateitabelle mit einem handelsüblichen Dienstprogramm namens DiskCryptor . Dieser Teil verwendet AES-Verschlüsselung mit einem 256-Bit-Schlüssel. Der DiskCryptor-Dienst installiert außerdem einen modifizierten Master Boot Record, der den Computer beim Start blockiert.
Sowohl AES-Schlüssel als auch die eindeutige ID für den Angriff werden an den gesendet Befehls- und Kontrollserver für BadRabbit, geschützt durch Verschlüsselung durch die RSA-Verschlüsselung.
Die Replikationsroutine der BadRabbit-Ransomware
Der zweite Zweig von BadRabbit verbreitet den Virus im Netzwerk, mit dem der infizierte Computer verbunden ist. Dies nutzt die Mimikatz Tool zur Identifizierung anderer Hosts im Netzwerk. Anschließend versucht es eine Reihe häufig verwendeter Administrator-Benutzerkontonamen und Passwörter in Kombination, um gültige Anmeldeinformationen zu erraten.
Wenn eines der vermuteten Konten existiert, öffnet das Replikationsmodul eine Verbindung zu diesem Host und kopiert sein Programmpaket. Das Replikationsmodul versucht außerdem, mithilfe des EternalRomance-Exploits eine Verbindung zu anderen Computern und Speichergeräten herzustellen.
Der BadRabbit-Lösegeldprozess
BadRabbit Ransomware übermittelt seinen Lösegeldschein auf zwei Arten. Das erste ist eine Textdatei , namens Readme.txt, die auf dem verschlüsselten Laufwerk gespeichert wird.
Dieser Schritt scheint Zeitverschwendung zu sein, da der Benutzer nicht mehr auf das Laufwerk zugreifen kann. BadRabbit startet dann den Computer neu, der mit dem MBR neu startet, der über DiskCryptor hinterlegt wurde.
Die Nachricht lautet:
Hoppla! Ihre Dateien wurden verschlüsselt.
Wenn Sie diesen Text sehen, sind Ihre Dateien nicht mehr zugänglich.
Möglicherweise haben Sie nach einer Möglichkeit gesucht, Ihre Dateien wiederherzustellen.
Verschwenden Sie nicht Ihre Zeit. Niemand wird sie ohne unsere wiederherstellen können
Entschlüsselungsdienst.
Wir garantieren, dass Sie alle Ihre Dateien sicher wiederherstellen können. Alles du
Sie müssen lediglich die Zahlung einreichen und das Entschlüsselungskennwort erhalten.
Besuchen Sie unseren Webservice unter caforssztxqzf2nm.onion
Ihr persönlicher Installationsschlüssel Nr. 1: –
Wenn Sie das Passwort bereits haben, geben Sie es bitte unten ein.
Passwort Nr. 1:
Die vollständige Blockierung des Zugriffs auf den Computer, die durch die Startmeldung verursacht wird, ist bedauerlich, da dadurch der Computer gerendert wird unbrauchbar . Andere Ransomware-Ersteller belassen den Computer in einem nutzbaren Zustand, da dies dem Opfer die Zahlung des Lösegelds erleichtert.
Um auf die Website zu gelangen, muss der Benutzer eine herunterladen und installieren Tor Browser . Bei der Ankunft auf der Website sieht der Benutzer den folgenden Bildschirm:
Der Text auf dem Bildschirm lautet:
Wenn Sie auf diese Seite zugreifen, wurde Ihr Computer verschlüsselt. Geben Sie den angezeigten persönlichen Schlüssel in das Feld unten ein. Wenn Sie erfolgreich sind, erhalten Sie ein Bitcoin-Konto für die Überweisung der Zahlung. Der aktuelle Preis steht rechts.
Sobald wir Ihre Zahlung erhalten haben, erhalten Sie ein Passwort zur Entschlüsselung Ihrer Daten. Um Ihre Zahlung zu verifizieren und die angegebenen Passwörter zu überprüfen, geben Sie Ihre zugewiesene Bitcoin-Adresse oder Ihren Schlüssel ein.
Preis für die Entschlüsselung 0,05 BTC
Die Webseite zeigt einen Zähler mit Stunden, Minuten und Sekunden. Dies begann bei 40 Stunden. Wie in der Website-Meldung erläutert, würde die Lösegeldforderung steigen, sobald der Zähler auf Null sinkt.
Zum Zeitpunkt der Angriffe waren 0,05 Bitcoin etwa 300 US-Dollar wert.
Unten auf der Webseite gibt es ein Feld, in das das Opfer das einfügen kann Passwort wird im Startbildschirm des Computers angezeigt. Wenn der Benutzer die große Schaltfläche neben diesem Feld drückt, wird ein zusätzlicher Teil der Webseite angezeigt.
Das gibt eine eindeutige Wallet-ID , in die das Opfer das Lösegeld einzahlen kann. Sobald die Zahlung erfolgt ist, erscheint das Passwort zur Entschlüsselung auf dem Bildschirm. Wenn der Benutzer dies in die Eingabeaufforderung „Boot Message“ eingibt, erhält er den Computer mit allen Dateien unverschlüsselt zurück.
Wer steckte hinter BadRabbit?
Die Analysten von Cybersicherheitsunternehmen und nationalen Sicherheitsbehörden auf der ganzen Welt kamen schließlich zu dem Schluss, dass die Ransomware BadRabbit die russische Hackergruppe gründete. BlackEnergy . Dies ist eine Gruppe, die häufig vom GRU, dem russischen Militärgeheimdienst, beauftragt wird. NotPetya wurde von einer anderen russischen Hackergruppe erstellt, die mit der GRU in Verbindung steht Sandwurm .
So schützen Sie sich vor BadRabbit-Ransomware
Der Server, der den gefälschten Adobe Flash-Download gehostet hat ging offline kurz nach Beginn der BadRabbit-Kampagne, wodurch der Angriff effektiv gestoppt wurde. Es scheint, dass die Ransomware ihren Zweck erfüllt hatte, der wie NotPetya nicht darin bestand, ein Vermögen anzuhäufen.
Obwohl BadRabbit keine Bedrohung mehr darstellt, hat die GRU immer noch ihre Bedrohung Panel von Hackern zur Hand. Es hat bereits gezeigt, dass es bereit ist, in regelmäßigen Abständen neue Ransomware-Bedrohungen in Auftrag zu geben, wobei häufig Code wiederverwendet wird. Es wird also weitere Ransomware-Angriffe wie BadRabbit geben.
Bisher gelangte Ransomware in allen Fällen entweder durch in ein System Downloads vom Benutzer initialisiert oder infizierte E-Mail-Anhänge dass der Benutzer öffnet. Ihre wichtigste Verteidigungslinie gegen Angriffe wie die Ransomware BadRabbit liegt also in der Benutzerschulung. Sie müssen außerdem wirksame Endpunktschutzsysteme installieren, die Ransomware abwehren können.
Wenn Sie verpflichtet sind, einen Datenschutzstandard einzuhalten, um im Geschäft zu bleiben, gehört es zu unseren Pflichten, die Daten für eine angemessene Verwendung und für Informationsanfragen der Personen, auf die sich diese Daten beziehen, verfügbar zu halten. Daher müssen Sie sicherstellen, dass die Daten vorhanden sind nicht zerstört sowie die Blockierung von Datendiebstahl.
Hier sind zwei sichere Systeme, deren Installation Sie in Betracht ziehen sollten.
1. CrowdStrike Falcon Insight (KOSTENLOSE TESTVERSION)
CrowdStrike Falcon Insight umfasst auf jedem Gerät installierte Endpunktagenten und einen cloudbasierten unternehmensweiten Koordinator. Der geräteresidente Teil des Pakets ist auch als eigenständiges Produkt namens CrowdStrike erhältlich Falcon Prevent . Das ist ein Endpunkterkennung und -reaktion (EDR)-Dienst.
Während die Endpunkt-Agenten auch dann Schutz bieten, wenn der Endpunkt offline ist, sammelt das zentrale System von Falcon Prevent hochgeladene Aktivitätsberichte und empfängt diese ein Threat-Intelligence-Feed das aus den Erfahrungen anderer CrowdStrike-Kunden zusammengestellt wird.
Das Falcon-System eignet sich ideal zum Blockieren neuer Ransomware, da es nicht auf eine Blacklist angewiesen ist, um Malware zu erkennen. Stattdessen identifiziert es anormale Aktivität . Der Dienst wird implementiert automatisierte Antworten die Prozesse beenden, Endpunkte vom Netzwerk isolieren und verdächtige Benutzerkonten blockieren.
Sie können eine bekommen15-tägige kostenlose Testversionvon Falcon Prevent.
CrowdStrike Falcon Insight starten Sie die 15-tägige KOSTENLOSE Testversion
zwei. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus ist ein Schutzdienst für vertrauliche Daten und Datendateien, die unter Windows gehostet werden. Es überwacht Dateien und blockiert unbefugte Änderungen, was ideal zum Schutz vor Ransomware ist. Dieses Paket ist für folgende Unternehmen unverzichtbar PCI DSS , HIPAA , Und DSGVO .
DataSecurity Plus beinhaltet ein Datenerkennungsdienst und ein Klassifikator für sensible Daten. Es überwacht diese Datenspeicher mit einem Dateiintegritätsmonitor. Unbefugte Änderungen an Dateien lösen Warnungen und Auslöser aus automatisierte Antworten . Zu diesen Reaktionen kann das Neuladen beschädigter Dateien aus dem Backup und das Beenden laufender Prozesse gehören.
Dieses Softwarepaket wird installiert auf Windows Server . DataSecurity Plus ist verfügbar für eine 30-tägige kostenlose Testversion .