Abo
  • Services:

Linux.Encoder.1: Ransomware greift Magento-Nutzer an

Eine Malware für Linux verschlüsselt zurzeit die Daten von Nutzern des Magento-Shopsystems. Für die Entschlüsselung sollen die Opfer zahlen, doch die Angreifer haben geschlampt: Die Verschlüsselung lässt sich knacken.

Artikel veröffentlicht am , Hanno Böck
Nutzer von alten Magento-Versionen sind zurzeit Opfer einer schlecht programmierten Ransomware.
Nutzer von alten Magento-Versionen sind zurzeit Opfer einer schlecht programmierten Ransomware. (Bild: Magento)

Zahlreiche Nutzer des Magento-Shopsystems sind Opfer einer Ransomware-Attacke geworden. Durch eine schon etwas ältere Sicherheitslücke in Magento verschafften sich die Angreifer Zugriff auf das System und verschlüsselten zahlreiche Nutzerdaten. Nur gegen die Zahlung von einem Bitcoin sollen die Nutzer ihre Daten wieder entschlüsseln können. Doch Betroffene können sich die Zahlung des Lösegelds sparen: Die Verschlüsselung der Ransomware ist so schlecht, dass sie sich trivial knacken lässt.

Stellenmarkt
  1. Bundeskriminalamt, Wiesbaden
  2. MAHLE International GmbH, Stuttgart

Die Firma Dr. Web, Hersteller des gleichnamigen Antiviren-Programms, hatte vor einigen Tagen als erste auf das Auftauchen einer Linux-Ransomware hingewiesen. Dr. Web gab dieser den Namen Linux.Encoder.1. Doch die ursprüngliche Ankündigung von Dr. Web enthielt keinerlei Informationen darüber, wie diese Malware auf die Rechner der Opfer gekommen war.

Shoplift-Sicherheitslücke in Magento

Den Ursprung der Angriffe klärte einige Tage später Brian Krebs auf. In seinem Blog zitiert er den Sicherheitsforscher Thomas Raef, der den Server einer betroffenen Webseite untersucht hatte. Demnach hat sich der Angreifer mittels einer Sicherheitslücke in Magento Zugriff auf das System verschafft, die im Frühjahr von der Firma Check Point entdeckt worden war. Am Umgang von Magento mit der Sicherheitslücke, die von Check Point den Namen "Shoplift" erhalten hatte, gab es damals einige Kritik.

Einmal ins System eingedrungen, versucht Linux.Encoder.1, die Home-Verzeichnisse, Webseiten und einige weitere Dateien zu verschlüsseln. Um dies zu erreichen, müsste die Software allerdings Root-Zugriff auf den betroffenen Systemen haben. Wie die Ransomware diesen erhielt, geht aus den bisherigen Berichten nicht hervor. Im Grunde gibt es dafür zwei Möglichkeiten: Entweder liefen bereits die Magento-Installationen mit Root-Rechten oder die Angreifer nutzten eine weitere Sicherheitslücke, um ihre Rechte auszuweiten.

Die Ransomware legt im Webverzeichnis, in dem sich vorher die Magento-Installation befunden hatte, eine Datei mit dem Namen README_FOR_DECRYPT.txt ab. Darin finden Nutzer eine Anleitung, wie sie gegen Zahlung von einem Bitcoin ihre Daten wieder entschlüsseln können. Mikko Hypponen von der Firma F-Secure wies auf Twitter darauf hin, dass man mit Google zahlreiche betroffene Seiten finden könne.

Bei den Zufallszahlen geschlampt

Sicherheitsforscher der Firma Bitdefender haben sich die Verschlüsselung von Linux.Encoder.1 näher angesehen. Die Dateien werden mit einem lokal generierten Key und dem AES-Verfahren verschlüsselt. Anschließend wird der AES-Key mit einem öffentlichen RSA-Schlüssel, der Teil der Ransomware ist, ebenfalls verschlüsselt und an die jeweilige Datei angehängt.

Wäre dieses Verfahren korrekt umgesetzt, gäbe es für Nutzer ohne den privaten RSA-Schlüssel, der sich im Besitz der Angreifer befindet, keine Möglichkeit, die Daten zu entschlüsseln. Doch die Angreifer haben zum Erstellen der AES-Schlüssel die Zufallszahlenfunktion der Glibc-Bibliothek verwendet und diese lediglich mit der Systemzeit initialisiert. Daher lässt sich aus der Zugriffszeit, zu der die entsprechende Datei verändert wurde, der Schlüssel wieder generieren.

Schlechte Zufallszahlen gehören zu den häufigsten Fehlern bei Verschlüsselungsimplementierungen. Immer wieder haben auch legitime Programme Sicherheitslücken, die darauf zurückzuführen sind.

Bitdefender hat ein in Python geschriebenes Skript bereitgestellt, mit dem sich die verschlüsselten Daten wieder entschlüsseln lassen. Das Skript steht unter der GPL-3-Lizenz zum Download zur Verfügung.

Bitdefender weist darauf hin, dass die betroffenen Nutzer Glück gehabt hätten und diesen Vorfall als Warnung auffassen sollten. Bei einer korrekt implementierten Verschlüsselung in einer Ransomware hätten die Opfer keine Chance, ihre Daten ohne den zugehörigen privaten Schlüssel wiederzuerhalten.

Nutzer von Magento sollten auf jeden Fall darauf achten, dass sie die aktuellste Version der Shop-Software einsetzen. Erst vor wenigen Tagen wurde ein Update von Magento veröffentlicht, das eine weitere, sehr kritische Sicherheitslücke behebt. Der Patch mit der Kennung SUPEE-6788 entfernt einen Bug im mitgelieferten Zend-Framework, der Angreifern die Ausführung von Code erlaubt. Behoben ist dieser Fehler in der Enterprise Edition in Version 1.14.2.2 und in der Community Edition in Version 1.9.2.2. Eine vollautomatische Updatefunktion, wie sie etwa Wordpress beherrscht, gibt es bei Magento nicht.



Anzeige
Blu-ray-Angebote
  1. über ARD Mediathek kostenlos streamen
  2. 9,99€
  3. 4,99€
  4. (2 Monate Sky Ticket für nur 4,99€)

M.P. 11. Nov 2015

Der Angriff erfolgte nicht auf Linux, sondern auf das schlecht programmierte Shop-System...


Folgen Sie uns
       


Transparentes, flexibles OLED von LG - Demo (Display Week)

Auf der Display Week 2018 in Los Angeles zeigt LG nach langer Verzögerung erstmals das transparente und flexible OLED. Auf der Veranstaltung hat LG nur eine Ecke mit einer Maschine dauerhaft gebogen. Gut zu sehen ist, dass die Gegenstände hinter dem Panel gut erkennbar, bei aktivem Display aber kaum sichtbar sind.

Transparentes, flexibles OLED von LG - Demo (Display Week) Video aufrufen
EU-Urheberrechtsreform: Wie die Affen auf der Schreibmaschine
EU-Urheberrechtsreform
Wie die Affen auf der Schreibmaschine

Nahezu wöchentlich liegen inzwischen neue Vorschläge zum europäischen Leistungsschutzrecht und zu Uploadfiltern auf dem Tisch. Sie sind dilettantische Versuche, schlechte Konzepte irgendwie in Gesetzesform zu gießen.
Ein IMHO von Friedhelm Greis

  1. Leistungsschutzrecht VG Media darf Google weiterhin bevorzugen
  2. EU-Verhandlungen Regierung fordert deutsche Version des Leistungsschutzrechts
  3. Fake News EU-Kommission fordert Verhaltenskodex für Online-Plattformen

Noctua NF-A12x25 im Test: Spaltlos lautlos
Noctua NF-A12x25 im Test
Spaltlos lautlos

Der NF-A12x25 ist ein 120-mm-Lüfter von Noctua, der zwischen Impeller und Rahmen gerade mal einen halben Millimeter Abstand hat. Er ist überraschend leise - und das, obwohl er gut kühlt.
Ein Test von Marc Sauter

  1. NF-A12x25 Noctua veröffentlicht fast spaltlosen 120-mm-Lüfter
  2. Lüfter Noctua kann auch in Schwarz
  3. NH-L9a-AM4 und NH-L12S Noctua bringt Mini-ITX-Kühler für Ryzen

Wonder Workshop Cue im Test: Der Spielzeugroboter kommt ins Flegelalter
Wonder Workshop Cue im Test
Der Spielzeugroboter kommt ins Flegelalter

Bislang herrschte vor allem ein Niedlichkeitswettbewerb zwischen populären Spiel- und Lernrobotern für Kinder, jetzt durchbricht ein Roboter für jüngere Teenager das Schema nicht nur optisch: Cue fällt auch durch ein eher loseres Mundwerk auf.
Ein Test von Alexander Merz


      •  /