TeslaCrypt-Ransomware verbreitet sich über Joomla-Domains

Domains, die das Content Management System Joomla nutzen, verbreiten seit Kurzem die Ransomware TeslaCrypt. Darauf weist Brad Duncan, Sicherheitsforscher bei Rackspace, in einem Blogeintrag für das Internet Storm Center hin. Ihm zufolge haben die Hintermänner der Malwarekampagne „admedia“ ihre Strategie geändert. Statt WordPress-Websites anzugreifen, hätten sie es nun auf anfällige Joomla-Seiten abgesehen.

Die admedia-Kampagne hatte die Sicherheitsfirma Securi Labs im Januar öffentlich gemacht. Sie beobachtete zu dem Zeitpunkt einen deutlichen Anstieg von WordPress-Seiten, die eine speziell präparierte JavaScript-Datei hosteten. Solche Seiten leiteten Besucher zum Nuclear-Exploit-Kit, das bekannte Sicherheitslücken in Windows und anderer Software ausnutzt, um Schadsoftware wie die Ransomware TeslaCrypt einzuschleusen.

Die Hacker haben dem Forscher zufolge nicht nur ihre Angriffsziele geändert, sie setzen nun auch auf das Exploit Kit Angler statt Nuclear. „In den vergangenen 24 Stunden habe ich Joomla-Seiten gesehen, die ein admedia-Gate generiert haben, sodass diese Kampagne nicht länger auf WordPress-Seiten beschränkt ist“, schreibt Duncan.

Eine kompromittierte Joomla-Seite hostet schädliche, in legitime .js-Dateien eingefügte Skripte, die wiederum JavaScript auf Websites ausführen. Diese Skripte leiten Nutzer zu den admedia-Gateways um, die wiederum ein Exploit Kit anbieten.

Wie Heise.de berichtet, sind Experten einer Spezialeinheit für Cybercrime des Landeskriminalamts Niedersachsen bei ihren Ermittlungen ebenfalls auf infizierte Joomla-Server gestoßen, die TeslaCrypt verteilten. Demnach waren die Joomla-Installationen jedoch vollständig gepatcht. Die Seiten seien wahrscheinlich durch eine im Dezember geschlossene Zero-Day-Lücke kompromittiert worden – also vor Verfügbarkeit oder Installation des Patches, und erst jetzt über eine Hintertür aktiviert worden.

Die Angriffswelle auf WordPress-Blogs betraf im vergangenen Jahr auch namhafte Websites wie den französischen Streaminganbieter Dailymotion und die britische Zeitung The Independent. Auch hier kamen das Exploit Kit Angler und die Erpressersoftware TeslaCrypt zum Einsatz, die Nutzerdateien verschlüsselt und nur gegen Zahlung eines Lösegelds wieder freigibt.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de