KeRanger ist erste Plattform-übergreifende Ransomware

Hinter KeRanger verbirgt sich laut Bitdefender eine für Mac OS X adaptierte Version der Linux-Ransomware Linux.Encoder4. [...]

Die Erpresser-Software KeRanger hat weltweit für Schlagzeilen gesorgt: Als erste voll funktionsfähige Ransomware für Mac OS X und gleichzeitig erster Mac OS X-Schadcode mit einem gültigen Zertifikat eines zugelassenen Entwicklers. Bitdefender hat den Code genau unter die Lupe genommen und ein weiteres hochinteressantes Detail entdeckt: KeRanger ist die erste Plattform-übergreifende Ransomware der Geschichte. Hinter KeRanger verbirgt sich nämlich eine für Mac OS X adaptierte Version der Linux-Ransomware Linux.Encoder4, die seit Anfang 2016 tausende von Servern befallen hat. Bei einer Analyse durch die Bitdefender Labs hat sich gezeigt, dass beide Schadcodes nahezu identisch sind.

VERTEIDIGUNG VON OS X DURCHBROCHEN

Seit dem Update Mountain Lion enthält Mac OS X die neue Funktion Gatekeeper, die vor Malware und zweifelhaften Apps aus dem Internet schützen soll. Wer die Standardeinstellungen von Gatekeeper nutzt, kann demnach nur Apps aus dem App Store von Apple und von zugelassenen Entwicklern signierte Anwendungen installieren.

Um die Gatekeeper-Funktion zu umgehen, haben die Angreifer das Update-Paket für den BitTorrent-Client Transmission mit einem von Apple zugelassenen Entwickler-Zertifikat versehen. Das Zertifikat stammt von einem Entwickler in der Türkei mit der ID Z7276PX673. Allerdings wurde für die vorangegangen Versionen des Transmission-Installers eine andere Entwickler-ID angegeben. Bereits zum wiederholten Male ist es Cyberkriminellen damit gelungen, Gatekeeper durch das Kapern echter Zertifikate auszuhebeln. Schon 2013 wurde die Spionagesoftware MAC.OSX.Backdoor.KitM.A auf Macs von angolanischen Bürgerrechtlern entdeckt, die ein digitales Zertifikat missbraucht hatte.

Sobald der infizierte Installer ausgeführt wird, verbindet sich der Trojaner über TOR mit einem Command-and-Control-Server und startet die Verschlüsselung der Daten auf dem befallenen Mac. Nach Abschluss wird die Textdatei README_FOR_DECRYPT.txt generiert, die Anweisungen für die Lösegeldzahlung enthält.

„Die Verschlüsselungsfunktionen von KeRanger sind die gleichen wie bei Linux.Encoder, sie tragen sogar die gleichen Namen wie encrypt_file, recursive_task, currentTimestamp und createDaemon“, sagt Catalin Cosoi, Chief Security Strategist bei Bitdefender. „Die gesamte Verschlüsselungsroutine ist identisch.“

AUSSPERREN REICHT NICHT

Noch vor sechs Monaten waren ausschließlich Windows- und Android-Nutzer durch Ransomware bedroht. Doch im Dezember 2015 hatte die erste Ransomware für Linux mehrere tausend Server befallen. Glücklicherweise ist es den Forschern von Bitdefender gelungen, den Verschlüsselungsalgorithmus auszuhebeln und Entschlüsselungswerkzeuge für alle vier Varianten der Schadsoftware bereitzustellen. Anscheinend haben die Entwickler von Linux.Encoder entweder selbst ihren Code für Mac OS X umgeschrieben und verbreitet oder ihn an eine auf MAC OS X spezialisierte Bande verkauft.

„Es sollte nicht unerwähnt bleiben, dass eine ausgereifte, native Mac OS X-Sicherheitslösung mit verhaltensbasierten Echtzeit-Erkennungstechnologien den betroffenen Anwendern den notwendigen Schutz vor Befall und Verschlüsselung durch KeRanger hätte ermöglichen können“, so Cosoi weiter. „Um echte Sicherheit zu gewährleisten kann viel mehr getan werden, als nur nicht-signierte Software auszusperren.“ (pi)


Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*