Achtung: #BadRabbit-Ransomware-Ausbruch in Osteuropa

[English]Dringende Warnung an alle Administratoren in Firmenumgebungen. In Osteuropa findet gerade ein Ausbrauch einer BadRabbit genannten Ransomware statt. Betroffen sind Windows-System und Netzwerke in Firmenumgebungen. Ergänzung: Möglicherweise ist ein Killswitch gefunden.

Im Frühsommer haben wir ja den Angriff der NotPetya-Ransomware aus der Ukraine erlebt (siehe WannaCry Clone Ransomware befällt Systeme in der Ukraine), die über eine kompromittierte Steuersoftware M.E.Doc per Update verbreitet wurde und vor allem Unternehmen mit Verbindungen in die Ukraine betraf. Vor wenigen Tagen hatte ich den Artikel Warnung vor neuem NotPetya-ähnlichem Cyber-Angriff im Blog, wo genau vor einer Wiederholung dieses Szenarios gewarnt wurde.

BadRabbit-Ransomware-Ausbruch

Genau dieser Ausbruch scheint jetzt stattgefunden zu haben. Bei Bleeping Computer berichtet man über die BadRabbit-Ransomware, die wohl seit wenigen Stunden in vielen osteuropäischen Ländern verheerende Schäden angerichtet hat. Es sind sowohl Regierungsbehörden als auch private Unternehmen betroffen. Aktuell verbreitet sich die Infektion wohl in Ländern wie Russland, die Ukraine, Bulgarien und der Türkei.

Zu den bestätigten Opfern gehören der Flughafen Odessa in der Ukraine, das U-Bahn-System von Kiew in der Ukraine, das ukrainische Ministerium für Infrastruktur und drei russische Nachrichtenagenturen, darunter Interfax und Fontanka. Das ukrainische CERT-Team hat eine Warnmeldung veröffentlicht und warnt ukrainische Unternehmen vor diesem neuen Ausbruch.

Verbreitung per Fake Flash-Update

Antivirushersteller ESET schreibt in einem Tweet, dass die Verbreitung per Fake Flash-Update erfolgt.

#ESET confirms Discoder/#Petya/#BadRabbit campaign live today, incorporating #Mimikatz distribuded via fake flash. More info soon. pic.twitter.com/lUpkmdG2ox

— Jiri Kropac (@jiriatvirlab) 24. Oktober 2017

Auch Proofpoint-Sicherheitsforscher bestätigen diesen Ansatz und sagen, dass Bad Rabbit ursprünglich über ein Fake Flash Update verbreitet wurde.

#BadRabbit was spread by a fake Adobe Flash Player installer hosted here: 1dnscontrol[.]com, found by @ESET https://t.co/2z8g3tmzMe

— Darien Huss (@darienhuss) 24. Oktober 2017

Proofpoint schreibt aber weiter, dass die Ransomware mit Tools daher komme, die die weitere Verbreitung über ein Netzwerk ermögliche. Dies bewirkte, dass sich die Ransomware binnen kurzer Zeit über komplette Organisationen ausbreiten kann.

Ausbreitungsweg und Schadroutine

Basierend auf ersten Analysen von ESET, Emsisoft und Fox-IT nutzt Bad Rabbit Mimikatz, um Zugangsdaten aus dem lokalen Speicher des Systems zu extrahieren, hat aber auch fest codierte Zugangscodes. Damit versucht die Ransomware sich über weitere Server und Workstations per Netzwerk zu verbreiten.

Die Ransomware verwendet wohl DiskCryptor (eine Open Source-Verschlüsselungssoftware), um die Dateien zu verschlüsseln (wurde beim Angriff auf das Nahverkehrssystem in San Francisco verwendet, siehe ÖPNV-Hack in San Franzisko). Sobald Bad Rabbit die Infektion erledigt hat, startet es den PC des Benutzers neu. Im modifizierten Master Boot Record (MBR) findet sich dann Code, der eine Lösegeld-Forderung anzeigt.

#BadRabbit #cryptor attacked a number of Russia's major media. @interfax_news pic.twitter.com/5iLNs131Ml

— Group-IB (@GroupIB_GIB) 24. Oktober 2017

Vom Opfer wird der Zugriff auf eine Seite im Tor-Netzwerk gefordert. Dort wird er zur Zahlung eines Lösesgelds in Höhe von 0,05 Bitcoin (ca. $280) aufgefordert. Die Opfer haben etwas mehr als 40 Stunden Zeit, bis die Lösegeldsumme steigt. Die Lösegeldforderung ist fast identisch mit der, die NotPetya bei dem Ausbruch im Juni verwendet hat. Trotzdem gibt es wenig Ähnlichkeit mit NotPetya. Sicherheitsforscher Intezer behauptet, dass es nur 13% Übereinstimmung des Code zwischen Bad Rabbit und NotPetya gibt. Ein paar zusätzliche Informationen kann man dem Bleeping Computer-Beitrag entnehmen.

Ergänzungen: Erste Analysen

Der Beitrag ist die Nacht entstanden – inzwischen gibt es Blog-Beiträge diverser Sicherheitsfirmen zum Angriff. Malwarebytes hat in diesem Blog-Beitrag einige Details offen gelegt. Hier ist die Anzeige, die nach der Infektion erscheint.

Und dies ist die Webseite im Tor-Netzwerk, auf der die Betroffenen weitere Informationen finden. Dort erscheint auch der Counter mit der Restzeit, bevor der Preis für das Lösegeld steigt.

Die Infektion startet mit einer PE-Datei (dem gefakten Flash Player Update). Dann kommt wohl eine infpub.dat ins Spiel (ähnlich, wie bei NotPetya), die zwei Funktionen als DLL exportiert. Die erste enthält den Dropper, der die Malware (den Infector) auf andere Rechner im LAN verteilt. Unter anderem wird WMIC verwendet, um die Module auf entfernten Rechnern einzusetzen. Der verantwortliche Code ähnelt den Elementen von Petya/NotPetya.

Dann wird versucht, Anmeldedaten für Maschinen aus dem Speicher mittels eines Mimikatz-Moduls zu ermitteln. Parallel dazu hat dieses Modul noch eine Liste generischer Anmeldedaten gespeichert, die ebenfalls probiert werden.

Ein EternalBlue Exploit ist damit zur Verbreitung nicht erforderlich. Die Verschlüsselung der Dateien erfolgt über eine DLL mit Hilfe der Windows Crypto API. Dabei bleiben die folgenden Verzeichnisse ausgespart.

\\Windows
\\Program Files
\\ProgramData
\\AppData

Auf Pastbin sind die Dateinamen der verschlüsselten Dateien angegeben.

ESET schreibt auf welivesecurity.com, dass eine der Distributionsmethoden von Bad Rabbit ein Drive-by-Download per Watering-Hole verwendet. Einige beliebte Websites sind kompromittiert und enthalten JavaScript in ihren HTML-Dateien oder in einer ihrer js-Datei injiziert. Ergänzung: Hier eine Liste infizierter Medienseiten.

#BadRabbit was spread via web traffic from compromised media sites. #infosec #ransomware #cryptor pic.twitter.com/7GPsgZ2s3A

— Group-IB (@GroupIB_GIB) 24. Oktober 2017

Dort gibt man an, dass der Win32/Diskcoder.D genannte Schädling sich per SMB verbreiten kann – wobei kein EthernalBlue-Exploit verwendet werde. ESET gibt folgende Infektionsstatistik an:

• Russia: 65%
• Ukraine: 12.2%
• Bulgaria: 10.2%
• Turkey: 6.4%
• Japan: 3.8%
• Other: 2.4%

Noch ist das Ganze auf den Osten Europas und Japan begrenzt. Vom US-CERT gibt es nun diese Warnung. Und bei heise.de findet sich dieser Beitrag.

Möglicher Killswitch

Inzwischen haben Sicherheitsforscher angeblich auch Wege gefunden, die Ausbreitung des Schädlings auf Windows-Rechnern zu unterbinden. In diesem Tweet werden einige Ansätze beschrieben.

I can confirm – Vaccination for #badrabbit:
Create the following files c:\windows\infpub.dat && c:\windows\cscc.dat – remove ALL PERMISSIONS (inheritance) and you are now vaccinated. :) pic.twitter.com/5sXIyX3QJl

— Amit Serper​ (@0xAmit) October 24, 2017

Es sollen angeblich die folgenden Dateien angelegt und die Zugriffsrechte entzogen werden:

c:\windows\infpub.dat
c:\windows\cscc.dat

Damit kann die Schadsoftware nicht mehr auf ihre Export-DLL sowie auf die Kontrolldatei zugreifen. Die cscc.dat ist der umbenannte dcrypt.sys-Treiber zur Verschlüsselung. Ergänzung: Die Information findet sich in diesem Blog-Beitrag, wo eine detaillierte Anleitung zu finden ist. Ergänzung: Auch Kaspersky hat hier einige Details offen gelegt. Ein weiterer Benutzer gibt die folgenden Dateien an, denen er die Benutzerrechte entzogen hat.

%windir%\infpub.dat
%windir%\dispci.exe

Das Ganze ist unter Vorbehalt zu sehen, ich kann und werde es nicht testen.

Nachtrag 1: Laut diesem Tweet will Kaspersky die verschlüsselten Dateien erfolgreich entschlüsselt haben. Kaspersky hat hier einige Details zum Verschlüsselungstrojaner offen gelegt (dort habe ich aber noch nichts zur Entschlüsselung gefunden). Allerdings gibt Kasperky im Beitrag explizit an, dass Infektionen in Deutschland festgestellt wurden – das Thema spielt also nicht mehr im fernen Osteuropa oder in Russland. Weitere Analysen finden sich bei Talos und bei Bitdefender.