Abo
  • Services:
Anzeige
Nutzer von alten Magento-Versionen sind zurzeit Opfer einer schlecht programmierten Ransomware.
Nutzer von alten Magento-Versionen sind zurzeit Opfer einer schlecht programmierten Ransomware. (Bild: Magento)

Linux.Encoder.1: Ransomware greift Magento-Nutzer an

Nutzer von alten Magento-Versionen sind zurzeit Opfer einer schlecht programmierten Ransomware.
Nutzer von alten Magento-Versionen sind zurzeit Opfer einer schlecht programmierten Ransomware. (Bild: Magento)

Eine Malware für Linux verschlüsselt zurzeit die Daten von Nutzern des Magento-Shopsystems. Für die Entschlüsselung sollen die Opfer zahlen, doch die Angreifer haben geschlampt: Die Verschlüsselung lässt sich knacken.

Anzeige

Zahlreiche Nutzer des Magento-Shopsystems sind Opfer einer Ransomware-Attacke geworden. Durch eine schon etwas ältere Sicherheitslücke in Magento verschafften sich die Angreifer Zugriff auf das System und verschlüsselten zahlreiche Nutzerdaten. Nur gegen die Zahlung von einem Bitcoin sollen die Nutzer ihre Daten wieder entschlüsseln können. Doch Betroffene können sich die Zahlung des Lösegelds sparen: Die Verschlüsselung der Ransomware ist so schlecht, dass sie sich trivial knacken lässt.

Die Firma Dr. Web, Hersteller des gleichnamigen Antiviren-Programms, hatte vor einigen Tagen als erste auf das Auftauchen einer Linux-Ransomware hingewiesen. Dr. Web gab dieser den Namen Linux.Encoder.1. Doch die ursprüngliche Ankündigung von Dr. Web enthielt keinerlei Informationen darüber, wie diese Malware auf die Rechner der Opfer gekommen war.

Shoplift-Sicherheitslücke in Magento

Den Ursprung der Angriffe klärte einige Tage später Brian Krebs auf. In seinem Blog zitiert er den Sicherheitsforscher Thomas Raef, der den Server einer betroffenen Webseite untersucht hatte. Demnach hat sich der Angreifer mittels einer Sicherheitslücke in Magento Zugriff auf das System verschafft, die im Frühjahr von der Firma Check Point entdeckt worden war. Am Umgang von Magento mit der Sicherheitslücke, die von Check Point den Namen "Shoplift" erhalten hatte, gab es damals einige Kritik.

Einmal ins System eingedrungen, versucht Linux.Encoder.1, die Home-Verzeichnisse, Webseiten und einige weitere Dateien zu verschlüsseln. Um dies zu erreichen, müsste die Software allerdings Root-Zugriff auf den betroffenen Systemen haben. Wie die Ransomware diesen erhielt, geht aus den bisherigen Berichten nicht hervor. Im Grunde gibt es dafür zwei Möglichkeiten: Entweder liefen bereits die Magento-Installationen mit Root-Rechten oder die Angreifer nutzten eine weitere Sicherheitslücke, um ihre Rechte auszuweiten.

Die Ransomware legt im Webverzeichnis, in dem sich vorher die Magento-Installation befunden hatte, eine Datei mit dem Namen README_FOR_DECRYPT.txt ab. Darin finden Nutzer eine Anleitung, wie sie gegen Zahlung von einem Bitcoin ihre Daten wieder entschlüsseln können. Mikko Hypponen von der Firma F-Secure wies auf Twitter darauf hin, dass man mit Google zahlreiche betroffene Seiten finden könne.

Bei den Zufallszahlen geschlampt

Sicherheitsforscher der Firma Bitdefender haben sich die Verschlüsselung von Linux.Encoder.1 näher angesehen. Die Dateien werden mit einem lokal generierten Key und dem AES-Verfahren verschlüsselt. Anschließend wird der AES-Key mit einem öffentlichen RSA-Schlüssel, der Teil der Ransomware ist, ebenfalls verschlüsselt und an die jeweilige Datei angehängt.

Wäre dieses Verfahren korrekt umgesetzt, gäbe es für Nutzer ohne den privaten RSA-Schlüssel, der sich im Besitz der Angreifer befindet, keine Möglichkeit, die Daten zu entschlüsseln. Doch die Angreifer haben zum Erstellen der AES-Schlüssel die Zufallszahlenfunktion der Glibc-Bibliothek verwendet und diese lediglich mit der Systemzeit initialisiert. Daher lässt sich aus der Zugriffszeit, zu der die entsprechende Datei verändert wurde, der Schlüssel wieder generieren.

Schlechte Zufallszahlen gehören zu den häufigsten Fehlern bei Verschlüsselungsimplementierungen. Immer wieder haben auch legitime Programme Sicherheitslücken, die darauf zurückzuführen sind.

Bitdefender hat ein in Python geschriebenes Skript bereitgestellt, mit dem sich die verschlüsselten Daten wieder entschlüsseln lassen. Das Skript steht unter der GPL-3-Lizenz zum Download zur Verfügung.

Bitdefender weist darauf hin, dass die betroffenen Nutzer Glück gehabt hätten und diesen Vorfall als Warnung auffassen sollten. Bei einer korrekt implementierten Verschlüsselung in einer Ransomware hätten die Opfer keine Chance, ihre Daten ohne den zugehörigen privaten Schlüssel wiederzuerhalten.

Nutzer von Magento sollten auf jeden Fall darauf achten, dass sie die aktuellste Version der Shop-Software einsetzen. Erst vor wenigen Tagen wurde ein Update von Magento veröffentlicht, das eine weitere, sehr kritische Sicherheitslücke behebt. Der Patch mit der Kennung SUPEE-6788 entfernt einen Bug im mitgelieferten Zend-Framework, der Angreifern die Ausführung von Code erlaubt. Behoben ist dieser Fehler in der Enterprise Edition in Version 1.14.2.2 und in der Community Edition in Version 1.9.2.2. Eine vollautomatische Updatefunktion, wie sie etwa Wordpress beherrscht, gibt es bei Magento nicht.


eye home zur Startseite
M.P. 11. Nov 2015

Der Angriff erfolgte nicht auf Linux, sondern auf das schlecht programmierte Shop-System...



Anzeige

Stellenmarkt
  1. DATAGROUP Köln GmbH, Monheim am Rhein
  2. Kardex Produktion Deutschland GmbH, Neuburg an der Kammel
  3. LWL-Wohnverbund Paderborn/Gütersloh, Paderborn
  4. ESG Elektroniksystem- und Logistik-GmbH, Fürstenfeldbruck


Anzeige
Spiele-Angebote
  1. 6,99€
  2. 11,99€
  3. ab 129,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Classic Factory

    Elextra, der Elektro-Supersportwagen aus der Schweiz

  2. Docsis 3.1

    AVM arbeitet an 10-GBit/s-Kabelrouter

  3. Upspin

    Google-Angestellte basteln an globalem File-Sharing-System

  4. Apple Park

    Apple bezieht das Raumschiff

  5. Google Cloud Platform

    Tesla-Grafik für maschinelles Lernen verfügbar

  6. Ryzen

    AMDs Achtkern-CPUs sind schneller als erwartet

  7. Deutsche Glasfaser

    Gemeinde erreicht Glasfaser-Quote am letzten Tag

  8. Suchmaschine

    Google macht angepasste Site Search dicht

  9. Hawkspex mobile

    Diese App macht das Smartphone zum Spektrometer

  10. Asus Tinker Board im Test

    Buntes Lotterielos rechnet schnell



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Bundesnetzagentur: Puppenverbot gefährdet das Smart Home und Bastler
Bundesnetzagentur
Puppenverbot gefährdet das Smart Home und Bastler
  1. My Friend Cayla Eltern müssen Puppen ihrer Kinder zerstören
  2. Matoi Imagno Wenn die Holzklötzchen zu dir sprechen
  3. Smart Gurlz Programmieren lernen mit Puppen

Intel C2000: Weiter Unklarheit zur Häufung von NAS-Ausfällen
Intel C2000
Weiter Unklarheit zur Häufung von NAS-Ausfällen
  1. Super Bowl Lady Gaga singt unter einer Flagge aus Drohnen
  2. Lake Crest Intels Terminator-Chip mit Terabyte-Bandbreite
  3. Compute Card Intel plant Rechnermodul mit USB Type C

XPS 13 (9360) im Test: Wieder ein tolles Ultrabook von Dell
XPS 13 (9360) im Test
Wieder ein tolles Ultrabook von Dell
  1. Die Woche im Video Die Selbstzerstörungssequenz ist aktiviert
  2. XPS 13 Convertible im Hands on Dells 2-in-1 ist kompakter und kaum langsamer

  1. Re: bewerbungsfragen... mal zum self assessment. :-)

    rugel | 23:15

  2. Re: Biete Job für Linux-Profi in Bremen

    bjs | 23:15

  3. Re: Fritzbox 6590 Cable ?

    Proctrap | 23:12

  4. Re: Geil!

    Alex_M | 23:09

  5. Re: Mit iGPU oder ohne?

    Schattenwerk | 23:04


  1. 18:05

  2. 16:33

  3. 16:23

  4. 16:12

  5. 15:04

  6. 15:01

  7. 14:16

  8. 13:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel