Die aktuelle Ransomware Bad Rabbit, die am letzten Dienstag unter anderem die russische Nachrichtenagentur Interfax lahmlegte, soll durch sogenannte Watering-Hole-Angriffe gezielt an Mitarbeiter insbesondere osteuropäischer Unternehmen verteilt worden sein.

Das kann man den Malware-Analysen diverser Sicherheitsfirmen entnehmen. Bei diesen Watering-Hole-Angriffen infizieren die Angreifer Internetseiten, von denen sie wissen, dass ihr Zielperson sie immer mal wieder aufsucht, mit der Schadsoftware.

Details zum bösen Karnickel

Man trifft das böse Karnickel zwar in der Regel immer noch am Wasserloch, aber der Badrabbit-Erpressungstrojaner, der am letzten Dienstag vor allem Unternehmen in Russland und der Ukraine befiel, benutzt inzwischen auch Exploits der NSA aus dem Shadowbroker-Dump.

Das Ciscos Talos-Team und auch die Sicherheitsfirma F-Secure kommen zu dem Schluss, dass für die Infektion weiterer Rechnern in einem Unternehmen auch Schwachstellen im Server-Message-Block-Protokoll (SMB) benutzt wurden.

Diese Sicherheitslücken gab es auch schon bei den beiden Erpressungstrojanern NotPetya und Wannacry. Die Schwachstelle mit dem NSA-Codenamen Eternalromance wird wohl auch bei Badrabbit genutzt, weil große Teile seines Codes aus dem NotPetya-Angriff übernommen wurden.