Fairware greift Linux-Server an

Linux-Server-Admins berichten über Attacken, infolge derer das Web-Verzeichnis des Servers verschwindet und Websites auf unbestimmte Zeit abstürzen.

Über die Attacken beklagen sich auch die Forenteilnehmer bei BleepingComputer; laut der Beschreibung eines der Opfer klingt es eher nach einem Eindringen über eine SSH-Bruteforce-Attacke. Bemerkenswert ist, dass in jedem Fall der Webfolder gelöscht wird, lediglich eine read_me-Datei bleibt erhalten, die einen Link auf eine Pastebin-Seite mit Lösegeldforderungen enthält.

Die Cyberkriminellen hinter den Attacken versprechen, die Dateien als Gegenleistung für 2 Bitcoin zurückzugeben und behaupten, der Server des Opfers sei mit der Erpressersoftware Fairware infiziert. Den Worten von Lawrence Abrams von BleepingComputer zufolge ist das aber nicht ganz richtig.

„Wenn ein Angreifer für die Umsetzung eines Angriffs ein Programm oder Skript lädt, dann wäre es genau das [Ransomware]“, erklärte der Experte. „Leider verfügen wir derzeit nicht über ausreichend Informationen, aber alle Berichte zeugen davon, dass die Server gehackt wurden. Ich hatte bisher aber leider keine Möglichkeit, das zu überprüfen.“

Die Lösegeldforderung enthält die Adresse einer Bitcoin-Wallet und das Opfer wird aufgefordert, die Zahlung innerhalb von zwei Wochen zu leisten, andernfalls drohen die Verbrecher damit, die Dateien an Dritte weiterzugeben. „Wir sind die einzigen auf der Welt, die Ihnen Ihre Dateien zurückgeben können!“, heißt es in der auf Pastebin untergebrachten Mitteilung. „Als Ihr Server gehackt wurde, wurden die Dateien verschlüsselt und an einen unserer Server geschickt!“

Die Mitteilung enthält auch eine E-Mail-Adresse, an die sich das Opfer wenden kann, wenn es „Hilfe“ benötigt. Es wird ihm allerdings untersagt, die Adresse zu benutzen, um sich davon zu überzeugen, dass die vermissten Dateien sich tatsächlich bei den Angreifern befinden. „Bisher weiß ich nicht, was sie mit den Dateien tun“, erklärt Abrams. „Da die Dateien gelöscht werden, wäre es vernünftiger, sie zur Aufbewahrung zu archivieren und auf irgendeinen Server zu laden, anstatt sich mit Verschlüsselung herumzuschlagen und auf individuelle Schlüssel aufzupassen.“

Traditionell wird Ransomware über die Ausnutzung von Sicherheitslücken verbreitet oder mit Hilfe des Opfers, das durch eine List dazu gebracht wird, die schädliche Datei selbst auszuführen. In diesem Fall wurden keine Belege für solche Aktivitäten gefunden. Eins der Opfer, das im BleepingComputer-Forum aktiv ist, schreibt, dass sein Linux-Server kaum unter der Attacke gelitten habe, Dateien und Datenbanken seien erhalten geblieben. In diesem Eintrag heißt es, dass die Cyberkriminellen die read_me-Datei im Root-Verzeichnis hinterlassen hätten.

Das Löschen von Dateien und die Weigerung, die Aneignung der Dateien zu bestätigen, ist ein ungewöhnliches Verhalten für Cybergangster, die mit Erpressersoftware arbeiten. „Es könnte durchaus so sein [Betrug], in diesem Fall wäre das aber eine schlechte Geschäftsentscheidung für die Angreifer“, stellt Abrams fest. „Wenn der Erpresser sein Versprechen nach Zahlung des Lösegeldes nicht einhält, so spricht sich das herum und niemand wird mehr auf seine Forderungen eingehen.“

Trotzdem sind die Mitteilung des Erpressers über die Infektion und die Drohung, die gestohlenen Daten zu veröffentlichen, durchaus geeignet, das Opfer einzuschüchtern und dazu zu bringen, den Forderungen der Angreifer nachzukommen. Fairware ist nicht die erste Cyberkampagne, die mit einer derartigen Drohung daher kommt. Im vergangenen Jahr griffen die Betreiber des Verschlüsselungsschädlings Chimera auf diesen Trick zurück, obgleich der Schädling gar nicht in der Lage war, Dateien zu stehlen und sie im Netz zu veröffentlichen.

„Die Opfer von Erpresserprogrammen sollten von der Zahlung eines Lösegeldes Abstand nehmen, doch wenn Sie sich dennoch entschließen sollten zu zahlen, dann überzeugen Sie sich davon, dass der Empfänger auch tatsächlich im Besitz Ihrer Dateien ist“, rät Abrams.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.