Erpressersoftware BadRabbit Bösen Hasen gejagt, Drachen gefunden

Die Schadsoftware BadRabbit hat vor allem in Russland Rechner infiziert. Sicherheitsforscher haben den Angriff untersucht: Sie entdeckten infizierte Nachrichtenseiten - und eine Anspielung auf "Game of Thrones".

Drachen-Statue zu "Game of Thrones" in Sydney
Getty Images

Drachen-Statue zu "Game of Thrones" in Sydney

Von


Ein neuer Erpressungstrojaner namens BadRabbit macht vor allem Computernutzern in Russland und der Ukraine Ärger. Der Nachrichtenagentur Reuters zufolge war unter anderem die russische Nachrichtenagentur Interfax von BadRabbit betroffen, zudem sollen Verspätungen am Flughafen am ukrainischen Flughafen Odessa mit der sogenannten Ransomware in Verbindung stehen. Ebenso soll es beim Bezahlsystem der Metro Kiew Probleme gegeben haben.

Der Chef der ukrainischen Cyber-Polizei sagte Reuters derweil, die Ukraine sei von der Attacke "kaum betroffen", und auch von der ukrainischen Zentralbank heißt es, dass keine Bank Opfer des Angriffs geworden sei.

Eine Ransomware verschlüsselt zahlreiche Dateien eines infizierten Computers, der Nutzer ist sozusagen ausgesperrt und hat keinen Zugriff mehr auf Fotos oder andere Dateien. Die Angreifer bieten Betroffenen dann eine Entschlüsselung ihrer Dateien an - wenn sie Geld an die Macher der Software bezahlen. Im Fall BadRabbit werden zunächst 0,05 Bitcoin gefordert. Das sind laut dem aktuellen Kurs der Digitalwährung rund 230 Euro.

Auch deutsche Rechner betroffen

Die US-Regierung hat bereits vor BadRabbit gewarnt und vom Zahlen von Lösegeld abgeraten - Fälle aus dem USA sind bislang aber nicht bekannt. Die slowakische Sicherheitsfirma ESET meldete am Dienstag, mehr als die Hälfte der bisher betroffenen Rechner stehe in Russland. Ansonsten habe die Attacke vor allem die Ukraine, die Türkei und Japan getroffen.

Den Forschern von Kaspersky Lab und Malwarebytes Lab zufolge waren auch deutsche Rechner betroffen. Die Firmen gehen in ihren Blogposts aber nicht ins Detail. Kaspersky spricht in seinem Beitrag von einer "gezielten Kampagne gegen Firmen-Netzwerke".

Ein Sprecher des Bundesamt für Sicherheit in der Informationstechnik (BSI) sagte am Mittwochnachmittag auf SPIEGEL-Anfrage: "Eine Betroffenheit in Deutschland kann das BSI derzeit nicht bestätigen." Die Verbreitung der Angriffe sei nicht mit den großen Angriffswellen wie WannaCry vergleichbar.

BadRabbit-Seite im Darknet
SPIEGEL ONLINE

BadRabbit-Seite im Darknet

International Aufsehen erregende Ransomware-Kampagnen gab es dieses Jahr schon mehrere. WannaCry war die für Deutschland wohl folgenreichste Attacke. Damals, im Mai, wurden zum Beispiel Computer der Deutschen Bahn von dem Angriff erfasst, Anzeigetafeln und Fahrkartenautomaten funktionierten zeitweise nicht mehr richtig. In England legte WannaCry auch Krankenhaus-Rechner lahm.

Möglicher Zusammenhang mit NotPetya

Wie sich nun BadRabbit verbreitet hat, ist noch nicht ganz klar. Den Experten von Kaspersky zufolge ähnelt der Mechanismus aber der Ransomware NotPetya, die Ende Juni vor allem Computer in der Ukraine traf. Nun will Kaspersky untersuchen, ob und auf welche Art die beiden Schadprogramme zusammenhängen.

Ein Verbreitungsweg von BadRabbit ist aber laut der Firma schon bekannt: Mit der Schadsoftware infizierte Websites verbreiteten BadRabbit an ihre Besucher. Ihnen wurde vorgegaukelt, sie müssten einen Adobe-Flash-Installer ausführen. Wer die .exe-Datei jedoch startete, infizierte sich jedoch mit dem Schadprogramm. Kaspersky schreibt, das Unternehmen habe einige von der Masche betroffene Websites entdeckt, die allesamt Nachrichten- oder Medienseiten gewesen seien.

Waren hier "Game of Thrones"-Fans am Werk?

Der Name BadRabbit hängt laut den russischen Forschern mit einer Darknet-Seite zusammen, die in der Erpressernachricht erwähnt wird. Auf der bunt blinkenden Seite taucht der Begriff als Überschrift auf.

Den Kaspersky-Leuten ist bei der Analyse der Ransomware noch ein weiteres Detail aufgefallen: Im Code der ausführbaren Datei, die zur Infektion führt, tauchen demnach die Begriffe Viserion, Drogon und Rhaegal auf. Das sind die Namen der drei Drachen aus der Fantasy-Serie "Game of Thrones".

Erpresser-Viren - wie kann ich mich schützen?
Seien Sie vorsichtig mit E-Mail-Anhängen
Deaktivieren Sie die Makro-Funktion in Dokumenten, die Sie per E-Mail erhalten. Vor allem bei Nachrichten von fremden Personen sollten Sie vorsichtig sein. "Locky" und andere Ransomware-Trojaner werden nach Angaben von Sicherheitsexperten meist über E-Mail-Anhänge eingeschleust, die sich etwa als harmloses Worddokument tarnen, aber im Hintergrund die gefährliche Software ausführen. Völlige Sicherheit lässt sich so aber nicht erreichen: Auch als "drive-by", also einfach beim Besuch einer Website kann man sich Ransomware einfangen. Es traf sogar schon Leser von Seiten wie Nytimes.com und BBC.com.
Daten per Back-up sichern
Ransomware-Trojaner verschlüsseln Ihre Dateien oft so gut, dass sie dauerhaft unbrauchbar werden. Sichern Sie Ihre Daten also möglichst per Back-up, damit Sie Ihre Dokumente im Notfall wiederherstellen können. Am besten eignet sich dafür eine Festplatte, die nicht ständig mit dem PC verbunden ist, wie eine externe USB-Platte. Auch ein Cloud-Back-up kann sinnvoll sein - das sollte man dann aber sicher verschlüsseln.
Verwenden Sie aktuelle Software
Um Sicherheitslücken zu schließen, sollten Sie möglichst alle Programme auf Ihrem Rechner auf den neuesten Stand bringen. Installieren Sie Patches für den Browser, für Office-Anwendungen und den Flash-Player. Malware-Programme nutzen Sicherheitslücken in dieser Software aus.
Benutzen Sie aktuelle Virenschutz-Software
Die neuesten Versionen der Erpressertrojaner schaffen es zuweilen auch an aktuellen Sicherheitsprogrammen vorbei, aber schon bekannte Varianten kann ein Virenschutzprogramm abfangen. Diverse Anbieter haben auch kostenlose Versionen ihrer Schutzsoftware im Programm, die zumindest einen Basisschutz bieten, und bereits bekannte Virensignaturen erkennen.

Hinweis: Wir haben den Artikel um eine Stellungnahme des BSI ergänzt.

mit Material von Reuters



insgesamt 2 Beiträge
Alle Kommentare öffnen
Seite 1
7eggert 25.10.2017
1.
Warum kann MS nicht die Makro-Funktion auf das aktuelle Dokument beschränken? Warum gibt es nur "Nichts geht" und "Hallo Trojaner, hereinspaziert!"?
varlex 26.10.2017
2.
Zitat von 7eggertWarum kann MS nicht die Makro-Funktion auf das aktuelle Dokument beschränken? Warum gibt es nur "Nichts geht" und "Hallo Trojaner, hereinspaziert!"?
Also, Punkt 1: Der Hase scheint sich nicht über Makros zu verbreiten, sondern unter anderem über infizierte Websiten mit ausführbaren Dateien. Punkt 2: Eine Beschränkung von Makros auf ein Dokument ist nicht zielführend. Ich benutze Makros eben gerade auch dazu, andere Dokumente zu öffnen, auszulesen und wieder zu schließen. Wer Makros benutzt, der weiß in der Regel was er tut, alle anderen sollten die Funktion sowieso auslassen.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.