for a better it
040 696 66 71- 0
040 696 66 71-29

Ransomware: Bad Rabbit lauerte in Watering Holes

Bad Rabbit griff im Rahmen zielgerichteter Kampagnen vor allem Mitarbeiter osteuropäischer Unternehmen und Behörden an. Medienberichten zufolge verbreitet sich die Ransomware nun auch in Deutschland, die vorhandenen Hinweise sind allerdings eher dürftig.

Die neue Ransomware Bad Rabbit, die am vergangenen Dienstag unter anderem den Betrieb der russischen Nachrichtenagentur Interfax lahmlegte, soll mittels sogenannter Watering-Hole-Angriffe gezielt an Mitarbeiter vor allem osteuropäischer Unternehmen verteilt worden sein. Das geht aus Malware-Analysen verschiedener Sicherheitssoftware-Hersteller hervor. Bei Watering-Hole-Angriffen infizieren Angreifer Webseiten, von denen sie wissen, dass ihre Zielgruppe sie immer wieder aufsucht, mit Malware.

Laut Trend Micro enthielten mit Bad Rabbit kompromittierte Seiten ein Skript, das Nutzer zu einem angeblichen Flash-Player-Installer weiterleitete. Kaspersky erwähnt, dass dieser Redirect unter anderem auf legitimen News-Websites stattfand. Namen nennt der Hersteller aber nicht. Die Ransomware selbst habe sich als Flash-Player-Update mit der Bezeichnung install_flash_player.exe getarnt. Zur korrekten Ausführung auf einem Zielrechner sei der Schädling sowohl auf einen Doppelklick des Nutzers als auch auf das Vorhandensein von Admin-Rechten angewiesen.

Interessante Code-Parallelen
Analysen des Schadcodes zeigen, dass sich die Bad-Rabbit-Entwickler an vorhandener Ransomware, aber auch an der Codebasis legitimer Software bedient haben. So veröffentlichte Kaspersky einen Screenshot, der eine Codepassage von Bad Rabbit und der Ransomware NotPetya als nahezu identisch enttarnt. Die Verschlüsselungsroutine im Schadcode basiere wiederum auf dem Tool DiskCryptor, einer freien Software zur Verschlüsselung von Festplatten und Wechseldatenträgern. Hersteller ESET, der Bad Rabbit unter dem Alias Diskcoder.D erkennt, will zudem herausgefunden haben, dass die Ransomware das Metasploit-Tool Mimikatz zum Abgreifen von Login-Daten verwendet.

Eine Schwachstelle in der Verschlüsselungsroutine, die die Wiederherstellung von Daten ohne Lösegeldzahlung ermöglicht, scheint es nach bisherigem Kenntnisstand nicht zu geben. Wie üblich raten die Hersteller von der Zahlung ab. Ein Forscher von McAfee veröffentlichte eine Liste mit Dateiendungen, die Bad Rabbit verschlüsselt.

Gefahrenpotenzial für deutsche Nutzer noch unklar
Einem Unternehmenssprecher zufolge ist ESET sicher, „dass auch Deutschland im Zuge des laufenden Cyberangriffs zur Zielscheibe wird.“ Dies legten Erfahrungen mit früheren Ransomware-Angriffen nahe. Diese Einschätzung teilen offenbar zahlreiche deutsche Medien: Ihre Überschriften lesen sich, als sei Bad Rabbit bereits in Deutschland angekommmen. Im Text verweisen sie oftmals auf eine Aussage Kasperskys, die sich im Original gar nicht bedrohlich liest. Der Hersteller schreibt lediglich, dass sich die meisten Angriffsziele in Russland befänden und er ähnliche, „aber weniger“ Angriffe auch in der Ukraine, Türkei und Deutschland beobachtet habe.

Auch Trend Micro nennt Angrifssziele außerhalb Russlands – Dänemark, Irland und die Türkei. Dort habe man „einige mit Bad Rabbit präparierte Webseiten entdeckt“. Konkrete Webseiten oder gar Zahlen werden auch hier nicht genannt. Somit bleibt abzuwarten, ob und in welchem Ausmaß Bad Rabbit in Deutschland zum Problem wird.

[UPDATE 27.10.17, 14:35]: Sicherheitsforscher von Cisco Talos wollen im Rahmen ihrer Schadcode-Analysen entdeckt haben, dass Bad Rabbit zur Weiterverbreitung in Firmennetzwerken den so genannnten EternalRomance-Exploit verwendet. Dieser zählt zu den NSA-Tools, die die Hackergruppe Shadow Brokers im April dieses Jahres veröffentlichte. Laut Cisco Talos nutzte auch der Wiper NotPetya diese Angriffstechnik – allerdings in Kombination mit EternalBlue, einem zweiten NSA-Exploit. Letzteren hat Cisco Talos im Bad-Rabbit-Code bislang aber nicht gesichtet.

Quelle: heise.de

Webinar – Web Application Security

Wie versuchen Hacker Webseiten und webbasierte Applikationen anzugreifen und wie funktioniert eine leistungsstarke Web Application Firewall?
Erfahren Sie mehr in unserem neusten Webinar!

Quelle: Rohde & Schwarz Cybersecurity

Details zur KRACK-Attacke: WPA2 ist angeschlagen, aber nicht gänzlich geknackt

Schwachstellen im WPA2-Protokoll führen dazu, dass Angreifer eigentlich geschützten Datenverkehr mitlesen könnten. Davon sind im Grunde alle Geräte mit WLAN-Chip bedroht. Das WLAN-Passwort ist aber nicht gefährdet.

Zwei Sicherheitsforscher zeigen, wie sie auf Grund von Fehlern im WPA2-Protokoll verschlüsselte Daten zwischen einem Access Point und Client einsehen können. WPA2 ist das mittlerweile fast überall genutzte Protokoll für die Verschlüsselung in Funknetzen und soll Angreifer daran hindern, Daten durch einfaches Belauschen der Funkübertragung zu erschnüffeln. Durch den KRACK getauften Angriff könnten Angreifer etwa persönliche Informationen mitschneiden oder Daten manipulieren. Die „Key Reinstallation Attack“ klinkt sich dazu in den Verbindungsaufbau ein.

Einfallstor Handshake

Die Sicherheitsforscher der belgischen KU Leuven setzen in dem Moment an, in dem ein Client sich mit einem Access Point via WLAN verbinden will. Dabei verständigen sich beide in Form eines Handshakes, der in vier Schritte unterteilt ist, unter anderem auf den zu nutzenden Session-Key. Der Beschreibung zufolge gelingt es ihnen dabei durch aktive Manipulation einen bereits genutzten Schlüssel erneut zum Einsatz zu bringen. Das funktioniere in der Praxis mit nahezu allen WLAN-Clients.

Diese „Reinstallation“ erlaube es ihnen, Teile des Datenverkehrs zu entschlüsseln oder zu manipulieren, erklären die Forscher auf einer eigens für die Beschreibung des KRACK-Angriffs eingerichteten Web-Site. Es handle sich dabei um einen Design-Fehler des WPA2-Protokolls, das die erneute Nutzung des Keys nicht unterbinde. Das WLAN-Passwort könne man auf diesem Weg allerdings nicht in seinen Besitz bringen. Zusätzlich via SSL/TLS gesicherte Daten, wie sie etwa bei HTTPS-Verbindungen zum Online-Banking oder zum Übertragen von Login-Daten genutzt werden, lassen sich durch KRACK ebenfalls nicht entschlüsseln. Mehr Details zum Angriff auf den 4-Weg-Handshake präsentieren Mathy Vanhoef und Frank Piessens in einem Paper zu Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2

Linux und Android besonders gefährdet

Neben WPA2, inklusive der Personal- und Enterprise-Variante, sollen auch WPA-TKIP, AES-CCMP und das derzeit nicht weit verbreitete GCMP dafür anfällig sein. Da die Sicherheitsstandards an sich verwundbar sind, sind im Grunde alle Geräte mit Android, iOS, Linux, Windows & Co., die einen WLAN-Chip verbaut haben, gefährdet.

Den Sicherheitsforschern zufolge sind vor allem Linux und Android ab Version 6.0 besonders für einen derartigen Übergriff anfällig. Hier kommt die Software wpa_supplicant zum Einsatz, die den Sicherheitsforschern zufolge durch die erneute Übertragung des dritten Handshake-Pakets zur Nutzung eines Dummy-Keys mit dem Wert 0 gebracht werden kann. In diesem Fall konnten sie eigenen Angaben zufolge mit wenig Aufwand alle übertragenen Daten entschlüsseln. Rund 41 Prozent alle Android-Geräte seien für diese „besonders verheerende Variante“ ihres Angriffs anfällig.

Die Forscher wollen am 1. November 2017 auf der Konferenz Computer and Communications Security (CCS) einen aktualisierten Vortrag mit weiteren Details zur KRACK-Attacke halten. In einer ersten Stellungnahme versichert die Wi-Fi Alliance, dass es bislang keine Beweise für ein Ausnutzen der Schwachstellen gibt. Verschiedene Netzwerkausrüster haben bereits Patches angekündigt. Man kan die KRACK-Lücke also schließen, versichern die Forscher. Heise Security ist mit diversen Anbietern in Kontakt und wird berichten.

Bis Patches verfügbar sind, muss man davon ausgehen, dass Dritte mitlesen können. Man sollte bei der Übertragung von persönlichen Informationen darauf achten, dass eine Extra-Verschlüsselung wie HTTPS zum Einsatz kommt. Alternativ kann auch der Einsatz eines VPNs helfen. Das Deaktivieren von WLAN ist auch zielführend, in der Regel aber nicht praktikabel.

Quelle: heise.de