Parallelen mit dem Code von schon bekannten Erpressungstrojanern sind beim aktuellsten Erpressungstrojaner Bad Rabbit deutlich – Codepassagen sind teilweise sogar mit seinem Vorfahren NotPetya aus dem Vorjahr identisch.

Die Verschlüsselungsroutine im Code des Schädlings basiere wiederum auf dem Tool DiskCryptor, einer freien Software zur Verschlüsselung von Festplatten und Wechseldatenträgern, informiert das Sicherheitsunternehmen Kaspersky.

Das böse Karnickel am Wasserloch

Die neue Ransomware Bad Rabbit, die am letzten Dienstag unter anderem die russische Nachrichtenagentur Interfax lahmlegte, soll mittels sogenannter Watering-Hole-Angriffe gezielt an Mitarbeiter insbesondere osteuropäischer Unternehmen verteilt worden sein. Das lässt sich aus Malware-Analysen diverser Sicherheitsfirmen hervor. Bei Watering-Hole-Angriffen infizieren Angreifer Internetseiten, von denen sie wissen, dass ihre Zielgruppe sie immer mal wieder aufsucht, mit der Schadsoftware.

Nach Informationen von Trend Micro enthielten mit Bad Rabbit kompromittierte Seiten ein Skript, das die Nutzer zu einem angeblichen Flash-Player-Installer weiterleitete. Die Ransomware selbst soll sich als Flash-Player-Update mit der Bezeichnung install_flash_player.exe getarnt haben. Zur Installation auf einem Zielrechner sei der Schädling dann noch zum einen auf einen Doppelklick des Nutzers und zum anderen auf das Vorhandensein von Admin-Rechten angewiesen.

Gefahr für deutsche Surfer schwer einzuschätzen

Ein Unternehmenssprecher von ESET verlautete dazu, „dass auch Deutschland im Zuge des laufenden Cyberangriffs zur Zielscheibe wird.“ Auch deutsche Zeitungen und Nachrichtenseiten berichten teilweise, als sei das böse Karnickel am Wasserloch schon bei uns angekommen.Wie auch immer – bei Aufforderungen, ein Flash-Update zu installieren, wäre ich in der nächsten Zeit besonders vorsichtig…