Keine Artikel in dieser Ansicht.

Badrabbit verbreitete sich auch über Shadowbroker-Exploit
Samstag, 11. November 2017 13:15 Alter: 1 Jahre
Kategorie: Internet

Wieder ein SMB-Exploit, aber nur als Backup für die Verbreitung im Firmennetzwerk: Badrabbit hat offenbar große Ähnlichkeiten mit der NotPetya-Kampagne. In Deutschland gibt es weiterhin nur wenige Opfer.


Die Badrabbit-Malware, die Anfang der Woche vor allem Unternehmen in Russland und der Ukraine befallen hat, nutzt offenbar auch Exploits der NSA aus dem Shadowbroker-Dump. Primärer Infektionsvektor sind allerdings Watering-Hole-Angriffe über Webseiten, die gefälschte Flash-Updates ausliefern.

Ciscos Talos-Team und die Sicherheitsfirma F-Secure kommen beide zu dem Schluss, dass für die Infektion weiterer Rechner in einem Unternehmen auch Schwachstellen im Server-Message-Block-Protokoll (SMB) verwendet werden. Diese waren auch beim NotPetya-Angriff und bei Wannacry zum Einsatz gekommen. Die Schwachstelle mit dem NSA-Codenamen Eternalromance ist wohl auch deshalb bei Badrabbit präsent, weil große Teile des Codes aus dem NotPetya-Angriff übernommen wurden.

Entschlüsselung soll grundsätzlich möglich sein

Talos geht nach der Analyse der Malware davon aus, dass die gleichen Personen dahinterstecken wie hinter der Nyetya-Malware und die Infektion und die Verbreitungswege langfristig geplant wurden. Badrabbit fordert eine Lösegeldzahlung von 0,5 Bitcoin, Opfer sollen innerhalb von 48 Stunden bezahlen. Anders als bei NotPetya soll es grundsätzlich möglich sein, Dateien wieder zu entschlüsseln. Sicherheitsfirmen und Polizeibehörden warnen aber grundsätzlich davor, zu zahlen, und empfehlen eine gute Backupstrategie.








<- Zurück zu: Newsliste


Webmail @ PeakNET

Emails von unterwegs lesen oder versenden? Kein Problem!

Für alle Kunden eines gültigen Webhosting Vertrages bieten wir natürlich ein Webmail Interface. Hier gehts zur Anmeldung.

 

Service & Support

Sie wissen nicht weiter, haben Fragen zu diversen Einstellungen oder benötigen einfach nur Informationen über unsere Angebote?
Bitte lesen Sie zuerst unsere FAQ's. Hier werden in der Regel bereits über 70% der Probleme gelöst.

Zu den FAQ's