Abo
  • IT-Karriere:

Linux.Encoder.1: Ransomware greift Magento-Nutzer an

Eine Malware für Linux verschlüsselt zurzeit die Daten von Nutzern des Magento-Shopsystems. Für die Entschlüsselung sollen die Opfer zahlen, doch die Angreifer haben geschlampt: Die Verschlüsselung lässt sich knacken.

Artikel veröffentlicht am , Hanno Böck
Nutzer von alten Magento-Versionen sind zurzeit Opfer einer schlecht programmierten Ransomware.
Nutzer von alten Magento-Versionen sind zurzeit Opfer einer schlecht programmierten Ransomware. (Bild: Magento)

Zahlreiche Nutzer des Magento-Shopsystems sind Opfer einer Ransomware-Attacke geworden. Durch eine schon etwas ältere Sicherheitslücke in Magento verschafften sich die Angreifer Zugriff auf das System und verschlüsselten zahlreiche Nutzerdaten. Nur gegen die Zahlung von einem Bitcoin sollen die Nutzer ihre Daten wieder entschlüsseln können. Doch Betroffene können sich die Zahlung des Lösegelds sparen: Die Verschlüsselung der Ransomware ist so schlecht, dass sie sich trivial knacken lässt.

Stellenmarkt
  1. Pan Dacom Networking AG, Dreieich
  2. spiritdev Softwareentwicklung GmbH, Erlangen

Die Firma Dr. Web, Hersteller des gleichnamigen Antiviren-Programms, hatte vor einigen Tagen als erste auf das Auftauchen einer Linux-Ransomware hingewiesen. Dr. Web gab dieser den Namen Linux.Encoder.1. Doch die ursprüngliche Ankündigung von Dr. Web enthielt keinerlei Informationen darüber, wie diese Malware auf die Rechner der Opfer gekommen war.

Shoplift-Sicherheitslücke in Magento

Den Ursprung der Angriffe klärte einige Tage später Brian Krebs auf. In seinem Blog zitiert er den Sicherheitsforscher Thomas Raef, der den Server einer betroffenen Webseite untersucht hatte. Demnach hat sich der Angreifer mittels einer Sicherheitslücke in Magento Zugriff auf das System verschafft, die im Frühjahr von der Firma Check Point entdeckt worden war. Am Umgang von Magento mit der Sicherheitslücke, die von Check Point den Namen "Shoplift" erhalten hatte, gab es damals einige Kritik.

Einmal ins System eingedrungen, versucht Linux.Encoder.1, die Home-Verzeichnisse, Webseiten und einige weitere Dateien zu verschlüsseln. Um dies zu erreichen, müsste die Software allerdings Root-Zugriff auf den betroffenen Systemen haben. Wie die Ransomware diesen erhielt, geht aus den bisherigen Berichten nicht hervor. Im Grunde gibt es dafür zwei Möglichkeiten: Entweder liefen bereits die Magento-Installationen mit Root-Rechten oder die Angreifer nutzten eine weitere Sicherheitslücke, um ihre Rechte auszuweiten.

Die Ransomware legt im Webverzeichnis, in dem sich vorher die Magento-Installation befunden hatte, eine Datei mit dem Namen README_FOR_DECRYPT.txt ab. Darin finden Nutzer eine Anleitung, wie sie gegen Zahlung von einem Bitcoin ihre Daten wieder entschlüsseln können. Mikko Hypponen von der Firma F-Secure wies auf Twitter darauf hin, dass man mit Google zahlreiche betroffene Seiten finden könne.

Bei den Zufallszahlen geschlampt

Sicherheitsforscher der Firma Bitdefender haben sich die Verschlüsselung von Linux.Encoder.1 näher angesehen. Die Dateien werden mit einem lokal generierten Key und dem AES-Verfahren verschlüsselt. Anschließend wird der AES-Key mit einem öffentlichen RSA-Schlüssel, der Teil der Ransomware ist, ebenfalls verschlüsselt und an die jeweilige Datei angehängt.

Wäre dieses Verfahren korrekt umgesetzt, gäbe es für Nutzer ohne den privaten RSA-Schlüssel, der sich im Besitz der Angreifer befindet, keine Möglichkeit, die Daten zu entschlüsseln. Doch die Angreifer haben zum Erstellen der AES-Schlüssel die Zufallszahlenfunktion der Glibc-Bibliothek verwendet und diese lediglich mit der Systemzeit initialisiert. Daher lässt sich aus der Zugriffszeit, zu der die entsprechende Datei verändert wurde, der Schlüssel wieder generieren.

Schlechte Zufallszahlen gehören zu den häufigsten Fehlern bei Verschlüsselungsimplementierungen. Immer wieder haben auch legitime Programme Sicherheitslücken, die darauf zurückzuführen sind.

Bitdefender hat ein in Python geschriebenes Skript bereitgestellt, mit dem sich die verschlüsselten Daten wieder entschlüsseln lassen. Das Skript steht unter der GPL-3-Lizenz zum Download zur Verfügung.

Bitdefender weist darauf hin, dass die betroffenen Nutzer Glück gehabt hätten und diesen Vorfall als Warnung auffassen sollten. Bei einer korrekt implementierten Verschlüsselung in einer Ransomware hätten die Opfer keine Chance, ihre Daten ohne den zugehörigen privaten Schlüssel wiederzuerhalten.

Nutzer von Magento sollten auf jeden Fall darauf achten, dass sie die aktuellste Version der Shop-Software einsetzen. Erst vor wenigen Tagen wurde ein Update von Magento veröffentlicht, das eine weitere, sehr kritische Sicherheitslücke behebt. Der Patch mit der Kennung SUPEE-6788 entfernt einen Bug im mitgelieferten Zend-Framework, der Angreifern die Ausführung von Code erlaubt. Behoben ist dieser Fehler in der Enterprise Edition in Version 1.14.2.2 und in der Community Edition in Version 1.9.2.2. Eine vollautomatische Updatefunktion, wie sie etwa Wordpress beherrscht, gibt es bei Magento nicht.



Anzeige
Hardware-Angebote
  1. 249€ + Versand
  2. 58,99€

M.P. 11. Nov 2015

Der Angriff erfolgte nicht auf Linux, sondern auf das schlecht programmierte Shop-System...


Folgen Sie uns
       


Days Gone - Fazit

In Days Gone sind wir als Rocker Deacon St. John im zerstörten Oregon unterwegs und erleben das ganz große Abenteuer.

Days Gone - Fazit Video aufrufen
Technologie: Warum Roboter in Japan so beliebt sind
Technologie
Warum Roboter in Japan so beliebt sind

Japaner produzieren nicht nur mehr Roboter als jede andere Nation, sie gehen auch selbstverständlicher mit ihnen um. Das liegt an der besonderen Geschichte und Religion des Inselstaats - und an Astro Boy.
Von Miroslav Stimac

  1. Heimautomatisierung Wäschefaltroboter-Hersteller Seven Dreamers ist insolvent
  2. Kreativität Roboterdame Ai-Da soll zeichnen und malen
  3. Automatisierung Roboterhotel entlässt Roboter

Raspi-Tastatur und -Maus im Test: Die Basteltastatur für Bastelrechner
Raspi-Tastatur und -Maus im Test
Die Basteltastatur für Bastelrechner

Für die Raspberry-Pi-Platinen gibt es eine offizielle Tastatur und Maus, passenderweise in Weiß und Rot. Im Test macht die Tastatur einen anständigen Eindruck, die Maus hingegen hat uns eher kaltgelassen. Das Keyboard ist zudem ein guter Ausgangspunkt für Bastelprojekte.
Ein Test von Tobias Költzsch

  1. Bastelcomputer Offizielle Maus und Tastatur für den Raspberry Pi
  2. Kodi mit Raspberry Pi Pimp your Stereoanlage
  3. Betriebssystem Windows 10 on ARM kann auf Raspberry Pi 3 installiert werden

Fitbit Versa Lite im Test: Eher smartes als sportliches Wearable
Fitbit Versa Lite im Test
Eher smartes als sportliches Wearable

Sieht fast aus wie eine Apple Watch, ist aber viel günstiger: Golem.de hat die Versa Lite von Fitbit ausprobiert. Neben den Sport- und Fitnessfunktionen haben uns besonders der Appstore und das Angebot an spaßigen und ernsthaften Anwendungen interessiert.
Von Peter Steinlechner

  1. Smartwatch Fitbit stellt Versa Lite für Einsteiger vor
  2. Inspire Fitbits neues Wearable gibt es nicht im Handel
  3. Charge 3 Fitbit stellt neuen Fitness-Tracker für 150 Euro vor

    •  /