Die Ransomware Linux.Encoder.1 verschlüsselt Dateien auf Linux-Systemen und fordert 1 Bitcoin für die Entschlüsselung. Das entspricht derzeit rund 350 Dollar. Einer solchen Erpressung ausgesetzte Administratoren müssen jedoch nicht bezahlen. Sicherheitsforscher fanden inzwischen einen einfachen und kostenlosen Weg, um wieder an die Daten zu kommen.
Ihre Bezeichnung erhielt die erpresserische Malware vom russischen Antivirus-Anbieter Dr. Web. Wie er in einem Blogeintrag ausführt, haben es die Angreifer hauptsächlich auf Website-Administratoren abgesehen, auf deren Rechnern Webserver eingerichtet sind. Die Malware verschlüsselt Verzeichnisse für Home, Root, MySQL, Nginx sowie Apache und geht dann dazu über, Dateien für Web-Apps, Backups, Git-Projekte sowie zahlreiche Dateien mit bestimmten Erweiterungen wie .exe, .apk sowie .dll zu verschlüsseln.
Das mutmaßliche Einfallstor für die Schadsoftware könnte eine Sicherheitslücke im Content-Management-System Magento sein, die schon für frühere Angriffe auf Webserver genutzt wurde. Ende Oktober warnte Magento seine Nutzer und forderte sie zur Installation von Patches auf, um den aus der Ferne nutzbaren Fehler zu beheben, der in manchen Serverkonfigurationen Zugriff auf Systemdateien gab. Der Hersteller erwartete automatisierte Angriffe auf Magento-Installationen, nachdem ein Sicherheitsforscher über den Bug informierte.
Sicherheitsanbieter Bitdefender analysierte Linux-Encoder.1 ebenfalls und kam zum Schluss, dass er verbreiteter Ransomware für Windows wie etwa Cryptolocker und Torlocker ähnelt, die ihren Hintermännern bereits Millionen Dollar einbrachte: „Genau wie Windows-basierte Ransomware verschlüsselt es die Inhalte dieser Dateien mit AES, einem Algorithmus mit einem symmetrischen Schlüssel. Dieser bietet die erforderliche Stärke und Geschwindigkeit, während es die Nutzung der Systemressourcen auf ein Minimum beschränkt. Der symmetrische Schlüssel wird dann mit einem asymmetrischen Verschlüsselungsalgorithmus verschlüsselt, und zusammen mit dem von AES genutzten Initialisierungsvektor (IV) der Datei vorangestellt.“
Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.
Die Entwickler der Crypto-Ransomware machten dabei jedoch einen kapitalen Fehler und damit auch ihre eigenen Pläne zunichte. Statt sichere zufällige RSA-Schlüssel und IVs zu erstellen, griffen sie auf Informationen im Zusammenhang mit der Funktion libc rand() und dem Zeitstempel zu. Diese Informationen sind auch im Nachhinein leicht zu erlangen durch einen Blick auf den Zeitstempel der Datei. „Diese gewaltige Designfehler erlaubt es, an den AES-Schlüssel zu kommen, ohne ihn mit dem RSA-Public-Key entschlüsseln zu müssen, den die Hintermänner des Trojaners verkaufen“, erklärten die Sicherheitsforscher von Bitdefender dazu – und stellen dafür ein automatisches Entschlüsselungstool bereit.
[mit Material von Liam Tung, ZDNet.com]
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
