War es in den letzten Monaten etwas ruhiger um Verschlüsselungstrojaner geworden, treibt nun ein neuer Schädling seine Runde – und richtet dabei gehörigen Schaden an. So konnte am Dienstag die russische Nachrichtenagentur Interfax vorübergehend keinerlei Meldungen mehr ausschicken, nachdem die eigenen Computersysteme lahmgelegt wurden. Auch der ukrainische Flughafen von Odessa meldete massive Probleme.

Böser Hase

Dafür verantwortlich zeichnet ein neuer Schädling namens "Bad Rabbit", der sich derzeit laut Sicherheitsfirmen wie Kaspersky Labs oder ESET rasant verbreitet. Neben russischen und ukrainischen Zielen soll er auch zunehmend in der Türkei und Deutschland Opfer gefunden haben.

grafik: motherboard Ein mit "Bad Rabbit" infizierter Rechner.

Der Ablauf ist dabei wie schon von anderer solcher Ransomware bekannt. Hat es die Schadsoftware einmal auf den Rechner geschafft, wird kurzerhand der lokale Datenspeicher verschlüsselt. Danach wird eine Mitteilung präsentiert, die von den betroffenen Usern die Zahlung eines Lösegelds fordert, so sie denn ihre Daten wiederherstellen wollen – in diesem Fall 0,05 Bitcoin, was derzeit rund 235 Euro entspricht. Dieses "Angebot" ist aber zeitbegrenzt, wie Motherboard berichtet, nach 40 Stunden soll sich der Preis erhöhen.

Ausgangspunkt

Laut Darien Huss, Sicherheitsforscher von Proofpoint, verbreitet sich BadRabbit über ein gefälschtes Update für den Adobe Flash Player, das offenbar über bekannte Nachrichtenseiten verbreitet wurde. Wer hinter den Angriffen steckt, ist derzeit noch nicht bekannt. Bei ESET meint man aber Spuren gefunden zu haben, die auf eine Verwandschaft zu Petya, einem früheren Verschlüsselungstrojaner, hinweisen. Eine Bestätigung dafür gibt es bisher allerdings noch nicht.

Vergleiche

Bei Kapspersky sieht man hingegen wiederum Ähnlichkeiten zu dem Petya-Nachfolger NotPetya, der vor einigen Monaten mit Angriffen gegen ukrainische Infrastruktur und Unternehmen für Furore sorgte. Man gehe davon aus, dass es sich um gezielte Angriffe handle, und die restlichen Infektionen nur ein Nebeneffekt sind.

Ratschlag

Sicherheitsexperten warnen immer wieder davor, das geforderte Lösegeld zu zahlen, da man damit solche Kampagnen nur weiter unterstützt. Zudem sei längst nicht gesichert, dass man dann auch wirklich wieder Zugriff auf die Daten bekommt, bei NotPetya war das etwa nicht der Fall. Viel besser wäre es sich mit der laufenden Aktualisierung der eigenen Systeme und regelmäßigen Backups vor den Gefahren von Ransomware zu schützen. (apo, 25.10.2017)