Bad rabbit

Wie Sie sich mit unseren Firewalls und sicherem Browser schützen können - Verschlüsselungstrojaner Bad Rabbit

Im Oktober 2017 begann eine Angriffswelle, die unter dem Namen Bad Rabbit bekannt wurde. Die Ziele waren zunächst osteuropäische Unternehmen und Behörden. Später verbreitete sich Bad Rabbit aber auch in anderen Ländern, unter anderem auch in Deutschland.

Zum Hintergrund: Was ist Bad Rabbit?

Bad Rabbit ist eine neue Form eines Kryptotrojaners. Es werden also erneut durch einen erfolgreichen Angriff Daten auf des Opfers verschlüsselt. Bad Rabbit ist benannt nach der Seite im Darknet, auf der man als Betroffener seine Zahlung tätigen kann, um seine Daten wieder zurück zu bekommen.

Was ist anders an diesem Verschlüsselungstrojaner?

Bei Bad Rabbit spricht man von einem Watering-Hole-Angriff. Damit beschreibt man ein Vorgehen, dass sich IT-Kriminelle inzwischen verstärkt auf zentrale, strategische Ziele konzentrieren, wie etwa spezielle Webseiten, die von potenziellen Zielpersonen häufig frequentiert werden. Aktuell wird beobachtet, dass beim Besuch dieser speziellen Zielseite automatisch ein Drive-by-Download startet. Konkret wird dabei eine gefälschte Adobe-Flash-Installationsdatei runtergeladen, welche bei Ausführung zu einer Infektion mit Bad Rabbit führt. Nach einem erzwungenen Neustart sind alle Daten auf dem PC verschlüsselt.

Kann sich Bad Rabbit auch im Netzwerk verbreiten?

Bad Rabbit ist ebenfalls in der Lage, sich im IT-Netzwerk des Unternehmens oder der Behörde zu verbreiten. Ungleich zu WannaCry und NotPetya, die im Sommer dieses Jahres zur Ausführung kamen, wird bei Bad Rabbit nicht die Sicherheitslücke im SMB-Protokoll von Windows ausgenutzt. Stattdessen werden andere Rechner über das Windows Management Instrumentarium (WMI) infiziert.

Wie können Sie sich vor dem Angriff auf dem PC schützen?

Fangen wir zunächst mit den Schutzmaßnahmen an, die Sie auf dem PC vornehmen können. Hier gibt es zwei Varianten.

Variante 1

  • Blockieren Sie die Ausführung der Dateien c:\windows\infpub.dat und c:\Windows\cscc.dat.
  • Falls möglich, deaktivieren Sie WMI auf Ihrem Windows-System, um zu verhindern, dass sich die Malware über Ihr Netzwerk ausbreitet.
  • Setzen Sie einen lokalen Anti-Virenscanner ein.

Variante 2

  • Wir empfehlen den Einsatz von Browser in the Box. Mittels der genutzten Technologie ist es möglich, vor so einer Art Attacke effektiv zu schützen. Der innovative Ansatz bei Browser in the Box ist der, dass Betriebssystem und Browser vollständig voneinander getrennt sind. Der Browser selber läuft auf dem PC in einer virtuellen Maschine und damit wird eine komplette Isolation erreicht. Schadsoftware kann den PC des Nutzers und das Netzwerk nicht infizieren. Mehr dazu finden Sie hier auf unserer Webseite.

Wie können Sie Ihr Netzwerk schützen?

Wie schon erwähnt kann sich Bad Rabbit auch im Netzwerk ausbreiten. Deswegen folgen hier einige Ratschläge für den Schutz Ihres IT-Netzwerks. Hier kommen unsere gateprotect Firewalls ins Spiel:

Im Netzwerk

1. Separieren Sie wichtige Server von Ihren Rechnern. Das Stichwort hier lautet Netztrennung.

2. Setzen Sie Netzwerkvirenscanner ein.

Schutz am Gateway

  • Der von unseren gateprotect Firewalls genutzte Virenscanner erkennt UDS:DangerousObject.Multi.Generic, über welchen BadRabbit ausgeführt wird. Wir empfehlen, den Proxy auf http und https zu nutzen, um den Virenscanner aus dem UTM-Paket sicher zu nutzen.
  • Der von uns zur Verfügung gestellte Contentfilter bietet die Möglichkeit, Downloads zu sperren. Hier kann man den Download jeglicher *.exe Dateien blocken.
  • Der Contentfilter bietet ebenfalls die Möglichkeit, gewisse Kategorien von Websiten zu blocken. Hier sollten die Unterkategorien "Spam" und "Malware" aktiv genutzt werden.

Wichtig: Generell raten wir davon ab, das Lösegeld zu zahlen. Es ist nicht gesichert, dass Ihre Daten nach erfolgter Zahlung wieder entschlüsselt werden. Dieses Vorgehen wurde bereits bei NotPetya angewendet. Gleichzeitig kann es sein, dass Sie bei Zahlung auf eine Liste kommen, nach der Sie dann auch in Zukunft gezielt attackiert werden.

Mehr Informationen oder mehr Beratung gebraucht?

Bei weiteren Fragen schreiben Sie uns einfach eine Email an cybersecurity@rohde-schwarz.com

Informationen anfordern

Haben Sie Fragen oder benötigen Sie weitere Informationen? Nutzen Sie hierzu einfach unser Kontaktformular und wir setzen uns umgehend mit Ihnen in Verbindung.

Ich möchte Informationen von Rohde & Schwarz erhalten per

Marketing-Einverständniserklärung

Was bedeutet das im Einzelnen?

Ich bin damit einverstanden, dass die ROHDE & SCHWARZ GmbH & Co. KG und die im Impressum dieser Website genannte, ROHDE & SCHWARZ zugehörige Gesellschaft oder Niederlassung, mich über den gewählten Kommunikationskanal (E-Mail oder Post) zu Marketing- und Werbezwecken kontaktiert (z.B. zur Übersendung von Informationen über Sonderangebote und Rabattaktionen), die in Zusammenhang mit Produkten und Lösungen aus den Bereichen Messtechnik, sichere Kommunikation, Monitoring and Network Testing, Rundfunk- und Medientechnik sowie Cybersicherheit stehen, aber nicht auf diese beschränkt sind.

Ihre Rechte

Diese Einverständniserklärung kann jederzeit durch Senden einer E-Mail, in deren Betreffzeile "Unsubscribe" steht, an news@rohde-schwarz.com, widerrufen werden. Darüber hinaus enthält jede von uns versandte E-Mail einen Link, durch den das Abbestellen zukünftiger Werbung per E-Mail möglich ist. Weitere Einzelheiten zur Verarbeitung personenbezogener Daten und zum Widerrufsverfahren finden sich in unserer Datenschutzerklärung..

Ihre Anfrage wurde erfolgreich versendet. Wir nehmen in Kürze Kontakt mit Ihnen auf.
An error is occurred, please try it again later.