Russische NotPetya-Angreifer für Bad-Rabbit-Malware verantwortlich?

Bad Rabbit tarnt sich als Flash-Update. Screenshot: Group IB
Gestern hat inside-it.ch berichtet, dass sich mit "Bad Rabbit" eine als Flash-Update getarnte Verschlüsslungs-Malware ausbreitet. Diese ist laut mehreren Security-Forschern eine überarbeitete Variante der berüchtigten als Ransomware getarnten Datenzerstörungssoftware "NotPetya". Heute hat unter anderem die russische Security-Firma Group IB in einer ausführlichen Analyse daraus geschlossen, dass wahrscheinlich die Urheber von NotPetya hinter der aktuellen Attacke stecken.
 
Bekannt sind die Angreifer unter verschiedenen Namen wie etwa Sandworm, Blackenergy oder Telebots, berichtet 'Bleepingcomputer'. Es wird vermutet, dass diese im Auftrag von Russland operieren, da sie nach dem Eingreifen Russlands in den Ukraine-Konflikt ukrainische Ziele in den Fokus nahmen. Dies beisst sich allerdings mit der Tatsache, dass von der Attacke vor allem russische Ziele betroffen sind. Dafür spricht wiederum, dass Bad Rabbits hochklassige Ziele wie Flughäfen, Metrosysteme und staatliche Stellen in der Ukraine lagen.
 
Vorbereitungen laufen seit Monaten
Laut Kaspersky haben die Angreifer ihre Infrastruktur seit spätestens Juli aufgebaut und teilweise hochrangige Websites mit falschen Flash-Player-Updates infiziert. Diese fast viermonatige Vorlaufzeit der Attacke deutet zumindest auf einen finanzkräftigen Hintergrund hin.
 
Bei der NotPetya-Attacke nutzten die Kriminellen bloss ein Bitcoin-Wallet, was darauf hindeutet, dass sie die Daten nicht entschlüsseln wollten und es um Sabotage ging. Im Unterschied dazu wird im Falle von Bad Rabbit für jeden infizierten Computer ein eigenes Bitcoin-Wallet generiert. Die Gruppe würde sich jetzt als konventionelle Erpresser tarnen, schliesst Group IB.
 
Die Ransomware- oder eben auch Zerstörungs-Attacke könnte wiederum auch ganz andere Angriffe, wie etwa das Absaugen sensibler Daten, verschleiern. Bekannt sei dieses Vorgehen zumindest seit dem Angriff der Lazarus Gruppe auf die Far Eastern International Bank in Taiwan vor einigen Tagen, schreibt 'Bleepingcomputer'. (ts)