Neuer Ausbreitungsweg für Erpressungstrojaner BadRabbit

Von Klaus Ahrens

Man trifft das böse Karnickel zwar immer noch am häufigsten am Wasserloch, aber der Badrabbit-Erpressungstrojaner, der Anfang der Woche vor allem Unternehmen in Russland und der Ukraine befiel, nutzt inzwischen offenbar auch Exploits der NSA aus dem Shadowbroker-Dump.

Der Haupt-Infektionsweg für das Erpresser-Karnickel sind aber immer noch Watering-Hole-Angriffe über Webseiten, die gefälschte Flash-Updates ausliefern.

Sowohl Ciscos Talos-Team als auch die Sicherheitsfirma F-Secure kommen zu dem Schluss, dass für die Infektion von weiteren Rechnern in einem Unternehmen auch Schwachstellen im Server-Message-Block-Protokoll (SMB) benutzt wurden.

Diese Sicherheitslücken gehörten auch schon zum Repertoir der beiden Erpressungstrojaner NotPetya und Wannacry. Die Schwachstelle mit dem NSA-Codenamen Eternalromance ist wohl auch deshalb bei Badrabbit präsent, weil große Teile des Codes aus dem NotPetya-Angriff übernommen wurden.

Inzwischen gibt es auch die ersten BadRabbit-Infektionen in Deutschland.