27.10.2017 Globale Cyber-Attacke

Ransomware Bad Rabbit treibt ihr Unwesen – was tun?

Von: Lea Sommerhäuser

Bad Rabbit – unter diesem Namen treibt eine neue Ransomware in Russland und der Ukraine ihr Unwesen. Mittlerweile soll sie sich auch in Deutschland verbreiten. Was sagen die Sicherheitsexperten zum „Wolf im Hasenpelz“ und wie können sich Unternehmen schützen?

Auch deutsche Unternehmen könnten zur Zielscheibe der Ransomware Bad Rabbit werden.

Auch deutsche Unternehmen könnten zur Zielscheibe der Ransomware Bad Rabbit werden.

Kaum hat sich die Neuigkeit verbreitet, dass eine frische Ransomware – diesmal mit Namen „Bad Rabbit“ – die Runde macht, melden sich natürlich sofort die Sicherheitsexperten und -anbieter zu Wort – mit zahlreichen Einschätzungen und diversen Vorschlägen, wie man sich als Unternehmen vor solchen fiesen Cyber-Attacken schützen kann.

Bisher sollen u.a. eine russische Nachrichtenagentur, der Flughafen in Odessa, das U-Bahn-Netz in Kiew sowie das ukrainische Ministerium für Infrastruktur und Finanzen unter den Betroffenen sein. Die Eset-Security-Experten verzeichnen jedoch seit Dienstag eine weltweite Ausweitung der Cyber-Attacke. Auch deutsche Unternehmen könnten zur Zielscheibe werden, warnen sie.

Laut Sophos war es wohl nur eine Frage der Zeit, bis irgendjemand die Ideen und Techniken, die von „Wanna Cry“ oder „Not Petya“ bekannt sind, aufgreift und damit eine neue Attacke auf ahnungslose Opfer fährt. Nach bisherigen Erkenntnissen scheint sich die aktuelle Ransomware über einen gefälschten Installer des Adobe-Flash-Players zu verbreiten. Allerdings gehe Bad Rabbit im Vergleich zu „normaler“ Ransomware noch einen Schritt weiter und habe die Möglichkeit, sich innerhalb eines einmal kompromittierten Systems proaktiv als Wurm weiter zu verbreiten – also nicht nur via E-Mail-Anhang oder angreifbare Web-Plugins.

Die Attacken mit der Ransomware scheinen generell nicht zielgerichtet zu sein, sondern sich an eine wohl eher zufällig ausgewählte Gruppe an Betroffenen zu richten. Palo Alto Networks rät Nutzern dringend, nur Flash-Updates direkt von der tatsächlichen Adobe-Website herunterzuladen.

Gewappnet gegen Schadsoftware


„Um gegen Wellen von Schadsoftware gewappnet zu sein, sollten Unternehmen die Aktivitäten ihrer gesamten IT-Infrastruktur überwachen“, empfiehlt Matthias Maier, Security Evangelist bei Splunk, zusätzlich. „So kennen sie dann den Normalzustand und es lassen sich schnell unregelmäßige Muster, die auf böswillige Akteure hindeuten, erkennen.“ Da immer mehr Details minütlich über Bad Rabbit online bekannt werden, sollten Firmen genau beobachten, welche Einschätzungen Sicherheitsexperten weltweit zur aktuellen Bedrohungslage abgeben. Es gehe darum zu verstehen, was die Infektionsvektoren sind, wie die Ransomware funktioniert und welche Schwachstellen es der Schadsoftware erlauben, sich in einem Netzwerk schnell auszubreiten. „Bad Rabbit scheint beispielsweise drei neue ‚Geplante Tasks’ auf einem System zu erstellen, einschließlich eines erzwungenen Neustarts“, ergänzt Maier. „Wenn die IT-Sicherheit nach diesen speziellen Mustern in überwachten Protokolldaten von Systemen sucht, kann sie die Erstinfektion früher ausmachen. Das hilft, um die Auswirkungen zu minimieren und einen Ausbruch komplett zu verhindern.“

Generell sind Unternehmen in Deutschland auf Angriffe von Hackern nicht ausreichend vorbereitet, heißt es. Lediglich 19 Prozent der Firmen besitzen eine Cyber-Resilience-Strategie und damit einen Notfallplan, wie sie nach Attacken auf ihre IT-Systeme handlungsfähig bleiben und sicher weiterarbeiten können. Zu diesem Ergebnis kommt eine vom Marktforschungsunternehmen Vanson Bourne im Auftrag von Mimecast durchgeführte Umfrage unter 100 deutschen Unternehmen mit mindestens 1.000 Mitarbeitern.

Grundsätzlich handelt es sich beim „Wolf im Hasenpelz“ um eine Erpresser-Malware, die wichtige Daten auf dem Rechner verschlüsselt und nur gegen Lösegeld (0,05 Bitcoins, rund 236 Euro) freigibt. „Wenn Bad Rabbit annähernd vergleichbar mit Not Petya ist, dann seien Sie vorbereitet und erwarten Sie eine Welle der Zerstörung, nicht nur ein kleines Ärgernis“, warnt Christian Vezina, Vascos Chief Information Security Officer. „Da Bad Rabbit nach dem Verschlüsseln von Dateien den MBR (Master Boot Record) ersetzt, kann es viel länger dauern, bis die Daten wiederhergestellt werden. Wenn es etwas Gutes an der Malware gibt, dann ist es, dass sie sich über Social-Engineering-Taktiken ausbreitet.“ Sprich: Man kann das Gefahrenpotential begrenzen, indem man die Nutzer darüber aufklärt, nicht einfach auf einen Link zu klicken, der ihnen angezeigt wird. Laut Vezina ist es ratsam, die Administratorenrechte an den Arbeitsplätzen der Mitarbeiter einzuschränken und sicherzustellen, dass die IT-Abteilung schnell Sicherheitsupdates vornimmt.

Außerdem sollten laut Sophos folgende Ratschläge beherzigt werden:

  • Software immer auf dem neuesten Stand halten
  • Regelmäßige Backups fahren und extern speichern – nicht nur Ransomware, sondern viele andere Gefahren wie Diebstahl, Wasserschaden oder versehentliches Löschen sorgen für Datenverlust.
  • Verschlüsselte Backups sorgen dafür, dass Daten nicht in die falschen Hände fallen, selbst wenn das Backup-Gerät gestohlen wird.
  • Unternehmen sollten auf ein mehrschichtiges und kommunizierendes IT-Sicherheitssystem setzen, um den immer ausgeklügelteren Angriffen der Hacker Einhalt zu gebieten.

Bildquelle: Thinkstock/iStock

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH