11. März 2016 Rudolf Felser/pi

KeRanger ist erste Plattform-übergreifende Ransomware

Hinter KeRanger verbirgt sich laut Bitdefender eine für Mac OS X adaptierte Version der Linux-Ransomware Linux.Encoder4. [...]

Die Erpresser-Software KeRanger hat weltweit für Schlagzeilen gesorgt: Als erste voll funktionsfähige Ransomware für Mac OS X und gleichzeitig erster Mac OS X-Schadcode mit einem gültigen Zertifikat eines zugelassenen Entwicklers. Bitdefender hat den Code genau unter die Lupe genommen und ein weiteres hochinteressantes Detail entdeckt: KeRanger ist die erste Plattform-übergreifende Ransomware der Geschichte. Hinter KeRanger verbirgt sich nämlich eine für Mac OS X adaptierte Version der Linux-Ransomware Linux.Encoder4, die seit Anfang 2016 tausende von Servern befallen hat. Bei einer Analyse durch die Bitdefender Labs hat sich gezeigt, dass beide Schadcodes nahezu identisch sind.

VERTEIDIGUNG VON OS X DURCHBROCHEN

Seit dem Update Mountain Lion enthält Mac OS X die neue Funktion Gatekeeper, die vor Malware und zweifelhaften Apps aus dem Internet schützen soll. Wer die Standardeinstellungen von Gatekeeper nutzt, kann demnach nur Apps aus dem App Store von Apple und von zugelassenen Entwicklern signierte Anwendungen installieren.

Um die Gatekeeper-Funktion zu umgehen, haben die Angreifer das Update-Paket für den BitTorrent-Client Transmission mit einem von Apple zugelassenen Entwickler-Zertifikat versehen. Das Zertifikat stammt von einem Entwickler in der Türkei mit der ID Z7276PX673. Allerdings wurde für die vorangegangen Versionen des Transmission-Installers eine andere Entwickler-ID angegeben. Bereits zum wiederholten Male ist es Cyberkriminellen damit gelungen, Gatekeeper durch das Kapern echter Zertifikate auszuhebeln. Schon 2013 wurde die Spionagesoftware MAC.OSX.Backdoor.KitM.A auf Macs von angolanischen Bürgerrechtlern entdeckt, die ein digitales Zertifikat missbraucht hatte.

Sobald der infizierte Installer ausgeführt wird, verbindet sich der Trojaner über TOR mit einem Command-and-Control-Server und startet die Verschlüsselung der Daten auf dem befallenen Mac. Nach Abschluss wird die Textdatei README_FOR_DECRYPT.txt generiert, die Anweisungen für die Lösegeldzahlung enthält.

„Die Verschlüsselungsfunktionen von KeRanger sind die gleichen wie bei Linux.Encoder, sie tragen sogar die gleichen Namen wie encrypt_file, recursive_task, currentTimestamp und createDaemon“, sagt Catalin Cosoi, Chief Security Strategist bei Bitdefender. „Die gesamte Verschlüsselungsroutine ist identisch.“

AUSSPERREN REICHT NICHT

Noch vor sechs Monaten waren ausschließlich Windows- und Android-Nutzer durch Ransomware bedroht. Doch im Dezember 2015 hatte die erste Ransomware für Linux mehrere tausend Server befallen. Glücklicherweise ist es den Forschern von Bitdefender gelungen, den Verschlüsselungsalgorithmus auszuhebeln und Entschlüsselungswerkzeuge für alle vier Varianten der Schadsoftware bereitzustellen. Anscheinend haben die Entwickler von Linux.Encoder entweder selbst ihren Code für Mac OS X umgeschrieben und verbreitet oder ihn an eine auf MAC OS X spezialisierte Bande verkauft.

„Es sollte nicht unerwähnt bleiben, dass eine ausgereifte, native Mac OS X-Sicherheitslösung mit verhaltensbasierten Echtzeit-Erkennungstechnologien den betroffenen Anwendern den notwendigen Schutz vor Befall und Verschlüsselung durch KeRanger hätte ermöglichen können“, so Cosoi weiter. „Um echte Sicherheit zu gewährleisten kann viel mehr getan werden, als nur nicht-signierte Software auszusperren.“ (pi)


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

5. November 2024 Christof Baumgartner

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

5. November 2024

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

5. November 2024 Jiannis Papadakis *

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

5. November 2024

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*