c't 6/2016
S. 44
News
Sicherheit

Krypto-Trojaner wüten in Deutschland

Der Verschlüsselungs-Trojaner Locky hat in Deutschland zeitweise über 5000 Rechner pro Stunde befallen.

Mit neuen Erpressungs-Trojanern und Verbreitungsmaschen verschlüsseln Ganoven im großen Stil das digitale Hab und Gut ihrer Opfer, um Lösegeld zu erpressen. So hat etwa die Ransomware Locky zeitweise über 5000 Systeme pro Stunde befallen – allein in Deutschland. Der Schädling wird unter anderem über gefälschte Rechnungs-Mails verbreitet. Im Anhang befinden sich zumeist Office-Dokumente mit Makro-Code oder Skripte (.js, .bat); oftmals verpackt in Zip-Archive. Manchmal sind die Archive auch verschlüsselt, um den Virenschutz auszutricksen. Der Empfänger wird aufgefordert, das Archiv mit dem in der Mail angegeben Passwort zu entschlüsseln. Aber auch beim Surfen kann man sich die Trojaner einfangen; etwa über Exploit-Kits, die den Rechner infizieren und die Schädlinge nachladen. Das geschieht zum Beispiel auf kompromittierten Wordpress- und Joomla-Seiten.

Locky kursiert seit Mitte Februar und hat Windows-Nutzer und deren Virenschutzprogramme eiskalt erwischt. Der Schädling wurde zunächst eine Weile gestreut und schlummerte dann auf den Systemen der Opfer. Am 15. Februar um 15:06 Uhr wurde er von den Tätern koordiniert geweckt und begann auf den infizierten Rechnern mit dem Verschlüsseln. Seitdem Locky sein wahres Gesicht gezeigt hat, macht er sich nach der Infektion sofort an die Arbeit.

Nach derzeitigem Kenntnisstand verschlüsselt Locky mit RSA und AES. Wer die chiffrierten Dateien entschlüsseln will, muss ein halbes Bitcoin an die Täter zahlen – rund 190 Euro. Bei Redaktionsschluss war kein Weg bekannt, die Locky-Verschlüsselung zu knacken. Auch andere Trojaner versuchen aktuell Bitcoins zu erpressen: Etwa der kürzlich entdeckte Windows-Trojaner Trun, der für die Verschlüsselung das etablierte und als sicher geltende Krypto-Tool GnuPG missbraucht. Er hinterlässt seinen Opfern verschlüsselte .trun-Dateien. Ferner treibt TeslaCrypt 3 weiter sein Unwesen. Seine Dateien tragen aktuell die Endung .mp3.

Da die Schädlinge andauernd modifiziert werden, kann man sich nicht darauf verlassen, dass der Virenscanner anspringt. Die wichtigste Schutzmaßnahme sind Backups. Als Backup-Speicher ist zum Beispiel eine externe Festplatte geeignet, die man nur dann mit dem Rechner verbindet, wenn man Dateien sichert. Ist sie dauerhaft mit dem System verbunden, verschlüsselt sie der Schädling einfach mit. Das Gleiche gilt für Netzwerkfreigaben: Kann der Krypto-Trojaner darauf zugreifen, verschlüsselt er sie.

Damit es erst gar nicht zur Ausführung des Schadcodes kommt, sollte man skeptisch sein, wenn man Mails mit Dateianhängen empfängt. Erhält man Dateien, die man nicht erwartet hat, sollte man im Zweifel beim Absender nachfragen, ob er die Mail tatsächlich verschickt hat. Zudem sollte man Betriebssystem und Programme auf dem aktuellen Stand halten, damit Schädlinge nicht durch Sicherheitslücken in alter Software auf den Rechner gelangen können.

Der Krypto-Trojaner CTB-Locker hat es unterdessen auf Websites abgesehen: Er schlüpft offenbar durch Sicherheitslücken auf Server und verschlüsselt so ziemlich alles, was er dort findet. Er ersetzt die Index-Seite durch eine an den Admin gerichtete Erpresser-Botschaft, von der ursprünglichen Website bleibt nach dem Befall nichts mehr übrig. Laut c’t-Recherchen hat CTB-Locker bereits hunderte Server befallen, darunter etliche WordPress-Installationen. Welches Betriebssystem auf dem Server läuft, spielt keine Rolle; es handelt sich um ein plattformunabhängiges PHP-Skript. (rei@ct.de)

Sie wollen wissen, wie es weitergeht?

Kabellose Mäuse und Tastaturen angreifbar

Viele Funk-Mäuse und -Tastaturen, die nicht mit Bluetooth operieren, sind verwundbar gegenüber dem MouseJack-Angriff. Dabei funkt ein Angreifer das Dongle an, mit dem normalerweise die Geräte sprechen, und tut so, als ob er eine Tastatur verbindet. Da viele Dongles auch unverschlüsselte Verbindungen anerkennen und nicht prüfen, ob es sich um eine Maus oder Tastatur handelt, erlaubt der Angriff dem Hacker Zugriff, als wenn er selbst vor dem Rechner säße.

Betroffen sind fast alle namenhaften Hersteller von Peripherie-Geräten. Viele der Produkte lassen sich nicht gegen den Angriff absichern. Bei welchen Geräten der Nutzer Abhilfe schaffen kann, verrät der folgende c’t-Link. (fab@ct.de)

Sie wollen wissen, wie es weitergeht?

Sicherheitslücke in Linux Netzwerkfunktion

In der Standard-C-Bibliothek glibc, die auf den meisten Linux-Systemen zum Einsatz kommt, wurde eine schwere Sicherheitslücke entdeckt. Ein Angreifer kann das System damit übers Netz übernehmen. Es genügen zwei speziell präparierte DNS-Pakete, um Server, Desktops oder andere Geräte zu kapern. Entdeckt wurde der Fehler in der System-Funktion getaddrinfo() offenbar unabhängig von mehreren Sicherheitsforschern bei Google und Red Hat. Die Funktion ist für das Auflösen von Netzwerknamen via DNS zuständig.

Ein Google-Techniker hatte seltsame Abstürze seines SSH-Clients registriert, wenn er versuchte, sich mit einem bestimmten Host zu verbinden. Wie sich herausstellte, lag der Fehler nicht im SSH-Programm; prinzipiell kommt jedes Programm in Frage, das DNS-Namen auflöst. Hier können die DNS-Antworten einen Pufferüberlauf auf dem Stack erzeugen, der sich ausnutzen lässt, um fremden Code auszuführen. Dazu müssen allerdings systemeigene Schutzmechanismen wie ASLR umgangen werden.

Zwar gibt es Maßnahmen, die man vorbeugend ergreifen kann, doch diese laufen letztlich auf spezielle Filter für DNS-Pakete hinaus, was nur schwer konsequent umzusetzen ist. Besser ist es deshalb, möglichst schnell die Updates einzuspielen, die bei Linux-Distributionen und den Herstellern von Netzwerk-Appliances zum Download bereit stehen. Da Android auf die Bibliothek Bionic setzt, ist dieses Betriebssystem nicht betroffen und auch viele Router sind immun, da sie die betroffene Funktion nicht verwenden. (ju@ct.de)

Kommentare lesen (2 Beiträge)