Verschlüsselungstrojaner REvil hat es nun auf virtuelle Maschinen abgesehen

Mehrere Sicherheitsforscher warnen vor einer neuen REvil-Version, die noch mehr Geräte bedroht.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 153 Beiträge

(Bild: Pixels Hunter/Shutterstock.com)

Von
  • Dennis Schirrmacher

Der Erpressungstrojaner REvil hat es seit Neuestem neben Netzwerkspeichern auch VMs im Visier und verschlüsselt Daten gegen Lösegeld. Bislang hat es der Schädling nur auf Windows-PCs abgesehen.

Mehrere Sicherheitsforscher berichten auf Twitter von einer erweiterten Version der Ransomware REvil. Auf Basis eines portablen Linux-Systems soll der Trojaner NAS-Systeme und mit VMware ESXi erstellte virtuelle Maschinen infizieren. Mit dieser Ausrichtung erweitern die REvil-Macher ihre Angriffsfläche. Schlägt der Schädling zu, verschlüsselt er Dateien und fordert Lösegeld. In welchem Umfang Attacken stattfinden, ist derzeit nicht bekannt.

Ein Sicherheitsforscher von Emsisoft warnt davor, dass die Malware in einigen Fällen den ESXi-Daemon nicht beendet und es so im Zuge der Verschlüsselung zu korrupten Daten kommen kann. Ihm zufolge sollen auch die Macher der Erpressungstrojaner Babuk, DarkSide, GoGoogle, Hellokitty und RansomExx/Defray Linux-Varianten entwickelt haben, die EXSi-Server infizieren.

Wie Infektionen im Detail ablaufen, führen die Sicherheitsforscher nicht aus. Um das Infektionsrisiko zu minimieren, sollten Admins Netzwerkspeicher und ESXi-Server nur wenn unbedingt notwendig über das Internet erreichbar machen. Wenn das sein muss, sollten Zugänge via VPN und mit starken Passwörtern abgesichert sein. Außerdem sollten stets aktuelle Versionen von Anwendungen und Betriebssystemen zum Einsatz kommen.

Da Verschlüsselungstrojaner oft über in vielen Fällen gut gemachte gefälschte Betrüger-Mails auf Computer gelangen, sollte man nicht ohne zu überlegen auf Links klicken oder sogar Dateianhänge öffnen.

Lesen Sie auch

REvil ist seit 2019 aktiv und hat seitdem unzählige Computer befallen und erfolgreich Lösegeld erpresst. Die Drahtzieher der Kampagne geben an, 2020 100 Millionen US-Dollar mit dem Schädling umgesetzt zu haben. Die Summe setzt sich aber nicht nur aus Lösegeldern zusammen. Die Hintermänner betreiben ein Affiliate-Programm, bei dem Dritte den Schädling nutzen können und die REvil-Macher kassieren Provisionen. Um Opfer zu Lösegeldzahlungen zu bringen, leaken die Kriminellen nicht nur Daten, sondern drohen auch mit DDoS-Attacken und Anrufen bei Kunden einer betroffenen Firma.

(des)