Abo
  • Services:
Anzeige
Nutzer von alten Magento-Versionen sind zurzeit Opfer einer schlecht programmierten Ransomware.
Nutzer von alten Magento-Versionen sind zurzeit Opfer einer schlecht programmierten Ransomware. (Bild: Magento)

Linux.Encoder.1: Ransomware greift Magento-Nutzer an

Nutzer von alten Magento-Versionen sind zurzeit Opfer einer schlecht programmierten Ransomware.
Nutzer von alten Magento-Versionen sind zurzeit Opfer einer schlecht programmierten Ransomware. (Bild: Magento)

Eine Malware für Linux verschlüsselt zurzeit die Daten von Nutzern des Magento-Shopsystems. Für die Entschlüsselung sollen die Opfer zahlen, doch die Angreifer haben geschlampt: Die Verschlüsselung lässt sich knacken.

Anzeige

Zahlreiche Nutzer des Magento-Shopsystems sind Opfer einer Ransomware-Attacke geworden. Durch eine schon etwas ältere Sicherheitslücke in Magento verschafften sich die Angreifer Zugriff auf das System und verschlüsselten zahlreiche Nutzerdaten. Nur gegen die Zahlung von einem Bitcoin sollen die Nutzer ihre Daten wieder entschlüsseln können. Doch Betroffene können sich die Zahlung des Lösegelds sparen: Die Verschlüsselung der Ransomware ist so schlecht, dass sie sich trivial knacken lässt.

Die Firma Dr. Web, Hersteller des gleichnamigen Antiviren-Programms, hatte vor einigen Tagen als erste auf das Auftauchen einer Linux-Ransomware hingewiesen. Dr. Web gab dieser den Namen Linux.Encoder.1. Doch die ursprüngliche Ankündigung von Dr. Web enthielt keinerlei Informationen darüber, wie diese Malware auf die Rechner der Opfer gekommen war.

Shoplift-Sicherheitslücke in Magento

Den Ursprung der Angriffe klärte einige Tage später Brian Krebs auf. In seinem Blog zitiert er den Sicherheitsforscher Thomas Raef, der den Server einer betroffenen Webseite untersucht hatte. Demnach hat sich der Angreifer mittels einer Sicherheitslücke in Magento Zugriff auf das System verschafft, die im Frühjahr von der Firma Check Point entdeckt worden war. Am Umgang von Magento mit der Sicherheitslücke, die von Check Point den Namen "Shoplift" erhalten hatte, gab es damals einige Kritik.

Einmal ins System eingedrungen, versucht Linux.Encoder.1, die Home-Verzeichnisse, Webseiten und einige weitere Dateien zu verschlüsseln. Um dies zu erreichen, müsste die Software allerdings Root-Zugriff auf den betroffenen Systemen haben. Wie die Ransomware diesen erhielt, geht aus den bisherigen Berichten nicht hervor. Im Grunde gibt es dafür zwei Möglichkeiten: Entweder liefen bereits die Magento-Installationen mit Root-Rechten oder die Angreifer nutzten eine weitere Sicherheitslücke, um ihre Rechte auszuweiten.

Die Ransomware legt im Webverzeichnis, in dem sich vorher die Magento-Installation befunden hatte, eine Datei mit dem Namen README_FOR_DECRYPT.txt ab. Darin finden Nutzer eine Anleitung, wie sie gegen Zahlung von einem Bitcoin ihre Daten wieder entschlüsseln können. Mikko Hypponen von der Firma F-Secure wies auf Twitter darauf hin, dass man mit Google zahlreiche betroffene Seiten finden könne.

Bei den Zufallszahlen geschlampt

Sicherheitsforscher der Firma Bitdefender haben sich die Verschlüsselung von Linux.Encoder.1 näher angesehen. Die Dateien werden mit einem lokal generierten Key und dem AES-Verfahren verschlüsselt. Anschließend wird der AES-Key mit einem öffentlichen RSA-Schlüssel, der Teil der Ransomware ist, ebenfalls verschlüsselt und an die jeweilige Datei angehängt.

Wäre dieses Verfahren korrekt umgesetzt, gäbe es für Nutzer ohne den privaten RSA-Schlüssel, der sich im Besitz der Angreifer befindet, keine Möglichkeit, die Daten zu entschlüsseln. Doch die Angreifer haben zum Erstellen der AES-Schlüssel die Zufallszahlenfunktion der Glibc-Bibliothek verwendet und diese lediglich mit der Systemzeit initialisiert. Daher lässt sich aus der Zugriffszeit, zu der die entsprechende Datei verändert wurde, der Schlüssel wieder generieren.

Schlechte Zufallszahlen gehören zu den häufigsten Fehlern bei Verschlüsselungsimplementierungen. Immer wieder haben auch legitime Programme Sicherheitslücken, die darauf zurückzuführen sind.

Bitdefender hat ein in Python geschriebenes Skript bereitgestellt, mit dem sich die verschlüsselten Daten wieder entschlüsseln lassen. Das Skript steht unter der GPL-3-Lizenz zum Download zur Verfügung.

Bitdefender weist darauf hin, dass die betroffenen Nutzer Glück gehabt hätten und diesen Vorfall als Warnung auffassen sollten. Bei einer korrekt implementierten Verschlüsselung in einer Ransomware hätten die Opfer keine Chance, ihre Daten ohne den zugehörigen privaten Schlüssel wiederzuerhalten.

Nutzer von Magento sollten auf jeden Fall darauf achten, dass sie die aktuellste Version der Shop-Software einsetzen. Erst vor wenigen Tagen wurde ein Update von Magento veröffentlicht, das eine weitere, sehr kritische Sicherheitslücke behebt. Der Patch mit der Kennung SUPEE-6788 entfernt einen Bug im mitgelieferten Zend-Framework, der Angreifern die Ausführung von Code erlaubt. Behoben ist dieser Fehler in der Enterprise Edition in Version 1.14.2.2 und in der Community Edition in Version 1.9.2.2. Eine vollautomatische Updatefunktion, wie sie etwa Wordpress beherrscht, gibt es bei Magento nicht.


eye home zur Startseite
M.P. 11. Nov 2015

Der Angriff erfolgte nicht auf Linux, sondern auf das schlecht programmierte Shop-System...



Anzeige

Stellenmarkt
  1. Bundeskriminalamt, Berlin
  2. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Berlin
  3. noris network AG, Nürnberg
  4. Haufe-Lexware GmbH & Co. KG, Freiburg, Leipzig


Anzeige
Top-Angebote
  1. 8,99€
  2. 599,00€ statt 729,00€
  3. 69,90€

Folgen Sie uns
       


  1. Google Daydream

    Qualcomm verrät Details zu Standalone-Headsets

  2. Frontier Development

    Weltraumspiel Elite Dangerous für PS4 erhältlich

  3. Petya-Ransomware

    Maersk, Rosneft und die Ukraine mit Ransomware angegriffen

  4. Nach Einigung

    Bündnis hält Facebook-Gesetz weiterhin für gefährlich

  5. SNES Classic Mini

    Nintendo produziert zweite Retrokonsole in höherer Stückzahl

  6. 5 GHz

    T-Mobile startet LTE-U im WLAN-Spektrum mehrerer US-Städte

  7. Dirt 4 im Test

    Vom Fahrschüler zum Rallye-Weltmeister

  8. Ende der Störerhaftung

    Koalition ersetzt Abmahnkosten durch Netzsperren

  9. NNabla

    Sony gibt Deep-Learning-Bibliothek frei

  10. Mobilfunk

    Deutsche Telekom betreibt noch 9.000 Richtfunkstrecken



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mobile-Games-Auslese: Ninjas, Pyramiden und epische kleine Kämpfe
Mobile-Games-Auslese
Ninjas, Pyramiden und epische kleine Kämpfe
  1. Ubisoft Chaoshasen, Weltraumaffen und die alten Ägypter
  2. Monument Valley 2 im Test Rätselspiel mit viel Atmosphäre und mehr Vielfalt
  3. Mobile-Games-Auslese Weltraumkartoffel und Bilderbuchwanderung für mobile Spieler

Mesh- und Bridge-Systeme in der Praxis: Mehr WLAN-Access-Points, mehr Spaß
Mesh- und Bridge-Systeme in der Praxis
Mehr WLAN-Access-Points, mehr Spaß
  1. Eero 2.0 Neues Mesh-WLAN-System kann sich auch per Kabel vernetzen
  2. BVG Fast alle Berliner U-Bahnhöfe haben offenes WLAN
  3. Broadcom-Sicherheitslücke Vom WLAN-Chip das Smartphone übernehmen

Neues iPad Pro im Test: Von der Hardware her ein Laptop
Neues iPad Pro im Test
Von der Hardware her ein Laptop
  1. iFixit iPad Pro 10,5 Zoll intern ein geschrumpftes 12,9 Zoll Modell
  2. Office kostenpflichtig Das iPad Pro 10,5 Zoll ist Microsoft zu groß
  3. Hintergrundbeleuchtung Logitech bringt Hülle mit abnehmbarer Tastatur für iPad Pro

  1. Re: AR uninteressant

    Hotohori | 05:25

  2. Re: Auf den Funk kann man sich verlassen.

    ManMashine | 05:23

  3. Re: Einfach Online pruefen

    Malukai | 03:30

  4. Re: Warten auf DLC

    Shik3i | 02:55

  5. Re: So what?

    1ras | 02:27


  1. 02:00

  2. 17:35

  3. 17:01

  4. 16:44

  5. 16:11

  6. 15:16

  7. 14:31

  8. 14:20


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel