Abo
  • Services:
Anzeige
Nutzer von alten Magento-Versionen sind zurzeit Opfer einer schlecht programmierten Ransomware.
Nutzer von alten Magento-Versionen sind zurzeit Opfer einer schlecht programmierten Ransomware. (Bild: Magento)

Linux.Encoder.1: Ransomware greift Magento-Nutzer an

Nutzer von alten Magento-Versionen sind zurzeit Opfer einer schlecht programmierten Ransomware.
Nutzer von alten Magento-Versionen sind zurzeit Opfer einer schlecht programmierten Ransomware. (Bild: Magento)

Eine Malware für Linux verschlüsselt zurzeit die Daten von Nutzern des Magento-Shopsystems. Für die Entschlüsselung sollen die Opfer zahlen, doch die Angreifer haben geschlampt: Die Verschlüsselung lässt sich knacken.

Zahlreiche Nutzer des Magento-Shopsystems sind Opfer einer Ransomware-Attacke geworden. Durch eine schon etwas ältere Sicherheitslücke in Magento verschafften sich die Angreifer Zugriff auf das System und verschlüsselten zahlreiche Nutzerdaten. Nur gegen die Zahlung von einem Bitcoin sollen die Nutzer ihre Daten wieder entschlüsseln können. Doch Betroffene können sich die Zahlung des Lösegelds sparen: Die Verschlüsselung der Ransomware ist so schlecht, dass sie sich trivial knacken lässt.

Anzeige

Die Firma Dr. Web, Hersteller des gleichnamigen Antiviren-Programms, hatte vor einigen Tagen als erste auf das Auftauchen einer Linux-Ransomware hingewiesen. Dr. Web gab dieser den Namen Linux.Encoder.1. Doch die ursprüngliche Ankündigung von Dr. Web enthielt keinerlei Informationen darüber, wie diese Malware auf die Rechner der Opfer gekommen war.

Shoplift-Sicherheitslücke in Magento

Den Ursprung der Angriffe klärte einige Tage später Brian Krebs auf. In seinem Blog zitiert er den Sicherheitsforscher Thomas Raef, der den Server einer betroffenen Webseite untersucht hatte. Demnach hat sich der Angreifer mittels einer Sicherheitslücke in Magento Zugriff auf das System verschafft, die im Frühjahr von der Firma Check Point entdeckt worden war. Am Umgang von Magento mit der Sicherheitslücke, die von Check Point den Namen "Shoplift" erhalten hatte, gab es damals einige Kritik.

Einmal ins System eingedrungen, versucht Linux.Encoder.1, die Home-Verzeichnisse, Webseiten und einige weitere Dateien zu verschlüsseln. Um dies zu erreichen, müsste die Software allerdings Root-Zugriff auf den betroffenen Systemen haben. Wie die Ransomware diesen erhielt, geht aus den bisherigen Berichten nicht hervor. Im Grunde gibt es dafür zwei Möglichkeiten: Entweder liefen bereits die Magento-Installationen mit Root-Rechten oder die Angreifer nutzten eine weitere Sicherheitslücke, um ihre Rechte auszuweiten.

Die Ransomware legt im Webverzeichnis, in dem sich vorher die Magento-Installation befunden hatte, eine Datei mit dem Namen README_FOR_DECRYPT.txt ab. Darin finden Nutzer eine Anleitung, wie sie gegen Zahlung von einem Bitcoin ihre Daten wieder entschlüsseln können. Mikko Hypponen von der Firma F-Secure wies auf Twitter darauf hin, dass man mit Google zahlreiche betroffene Seiten finden könne.

Bei den Zufallszahlen geschlampt

Sicherheitsforscher der Firma Bitdefender haben sich die Verschlüsselung von Linux.Encoder.1 näher angesehen. Die Dateien werden mit einem lokal generierten Key und dem AES-Verfahren verschlüsselt. Anschließend wird der AES-Key mit einem öffentlichen RSA-Schlüssel, der Teil der Ransomware ist, ebenfalls verschlüsselt und an die jeweilige Datei angehängt.

Wäre dieses Verfahren korrekt umgesetzt, gäbe es für Nutzer ohne den privaten RSA-Schlüssel, der sich im Besitz der Angreifer befindet, keine Möglichkeit, die Daten zu entschlüsseln. Doch die Angreifer haben zum Erstellen der AES-Schlüssel die Zufallszahlenfunktion der Glibc-Bibliothek verwendet und diese lediglich mit der Systemzeit initialisiert. Daher lässt sich aus der Zugriffszeit, zu der die entsprechende Datei verändert wurde, der Schlüssel wieder generieren.

Schlechte Zufallszahlen gehören zu den häufigsten Fehlern bei Verschlüsselungsimplementierungen. Immer wieder haben auch legitime Programme Sicherheitslücken, die darauf zurückzuführen sind.

Bitdefender hat ein in Python geschriebenes Skript bereitgestellt, mit dem sich die verschlüsselten Daten wieder entschlüsseln lassen. Das Skript steht unter der GPL-3-Lizenz zum Download zur Verfügung.

Bitdefender weist darauf hin, dass die betroffenen Nutzer Glück gehabt hätten und diesen Vorfall als Warnung auffassen sollten. Bei einer korrekt implementierten Verschlüsselung in einer Ransomware hätten die Opfer keine Chance, ihre Daten ohne den zugehörigen privaten Schlüssel wiederzuerhalten.

Nutzer von Magento sollten auf jeden Fall darauf achten, dass sie die aktuellste Version der Shop-Software einsetzen. Erst vor wenigen Tagen wurde ein Update von Magento veröffentlicht, das eine weitere, sehr kritische Sicherheitslücke behebt. Der Patch mit der Kennung SUPEE-6788 entfernt einen Bug im mitgelieferten Zend-Framework, der Angreifern die Ausführung von Code erlaubt. Behoben ist dieser Fehler in der Enterprise Edition in Version 1.14.2.2 und in der Community Edition in Version 1.9.2.2. Eine vollautomatische Updatefunktion, wie sie etwa Wordpress beherrscht, gibt es bei Magento nicht.


eye home zur Startseite
M.P. 11. Nov 2015

Der Angriff erfolgte nicht auf Linux, sondern auf das schlecht programmierte Shop-System...



Anzeige

Stellenmarkt
  1. Sky Deutschland GmbH, Unterföhring bei München
  2. Brabender Technologie GmbH & Co. KG, Duisburg
  3. DRÄXLMAIER Group, Vilsbiburg bei Landshut
  4. Heise Medien GmbH & Co. KG, Hannover


Anzeige
Hardware-Angebote
  1. 129,99€ (219,98€ für zwei)

Folgen Sie uns
       


  1. A350-1000

    Airbus' größter zweistrahliger Jet wird ausgeliefert

  2. Flightsim Labs

    Flugsimulator-Addon klaut bei illegalen Kopien Passwörter

  3. Entdeckertour angespielt

    Assassin's Creed Origins und die Spur der Geschichte

  4. Abwehr

    Qualcomm erhöht Gebot für NXP um 5 Milliarden US-Dollar

  5. Rockpro64

    Bastelplatine kommt mit USB-C, PCIe und Sechskernprozessor

  6. Jameda

    Ärztin setzt Löschung aus Bewertungsportal durch

  7. Autonomes Fahren

    Forscher täuschen Straßenschilderkennung mit KFC-Schild

  8. Fernsehstreaming

    Magine TV zeigt RTL-Sender in HD-Auflösung

  9. TV

    SD-Abschaltung bei Satellitenfernsehen steht jetzt fest

  10. PM1643

    Samsung liefert SSD mit 31 TByte aus



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Materialforschung: Stanen - ein neues Wundermaterial?
Materialforschung
Stanen - ein neues Wundermaterial?
  1. Colorfab 3D-gedruckte Objekte erhalten neue Farbgestaltung
  2. Umwelt China baut 100-Meter-Turm für die Luftreinigung
  3. Crayfis Smartphones sollen kosmische Strahlung erfassen

Samsung C27HG70 im Test: Der 144-Hz-HDR-Quantum-Dot-Monitor
Samsung C27HG70 im Test
Der 144-Hz-HDR-Quantum-Dot-Monitor
  1. Volumendisplay US-Forscher lassen Projektion schweben wie in Star Wars
  2. Sieben Touchscreens Nissan Xmotion verwendet Koi als virtuellen Assistenten
  3. CJ791 Samsung stellt gekrümmten Thunderbolt-3-Monitor vor

Lebensmittel-Lieferservices: Für Berufstätige auf dem Lande oft "praktisch nicht nutzbar"
Lebensmittel-Lieferservices
Für Berufstätige auf dem Lande oft "praktisch nicht nutzbar"
  1. Kassenloser Supermarkt Technikfehler bei Amazon Go
  2. Amazon Go Kassenloser Supermarkt öffnet
  3. ThinQ LG fährt voll auf künstliche Intelligenz ab

  1. Das Produkt ist tot!

    daydreamer42 | 02:04

  2. Re: Airbus für mich ein NoGo

    masel99 | 02:00

  3. Re: Gibt es da auch eine ethische Bewertung oder...

    Cystasy | 01:58

  4. Re: Die Praxis wird noch zunehmen

    PineapplePizza | 01:44

  5. Re: Endlich das Hauptproblem erkannt

    PineapplePizza | 01:39


  1. 23:10

  2. 17:41

  3. 17:09

  4. 16:32

  5. 15:52

  6. 15:14

  7. 14:13

  8. 13:55


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel