KeRanger ist erste Plattform-übergreifende Ransomware

Hinter KeRanger verbirgt sich laut Bitdefender eine für Mac OS X adaptierte Version der Linux-Ransomware Linux.Encoder4. [...]

Die Erpresser-Software KeRanger hat weltweit für Schlagzeilen gesorgt: Als erste voll funktionsfähige Ransomware für Mac OS X und gleichzeitig erster Mac OS X-Schadcode mit einem gültigen Zertifikat eines zugelassenen Entwicklers. Bitdefender hat den Code genau unter die Lupe genommen und ein weiteres hochinteressantes Detail entdeckt: KeRanger ist die erste Plattform-übergreifende Ransomware der Geschichte. Hinter KeRanger verbirgt sich nämlich eine für Mac OS X adaptierte Version der Linux-Ransomware Linux.Encoder4, die seit Anfang 2016 tausende von Servern befallen hat. Bei einer Analyse durch die Bitdefender Labs hat sich gezeigt, dass beide Schadcodes nahezu identisch sind.

VERTEIDIGUNG VON OS X DURCHBROCHEN

Seit dem Update Mountain Lion enthält Mac OS X die neue Funktion Gatekeeper, die vor Malware und zweifelhaften Apps aus dem Internet schützen soll. Wer die Standardeinstellungen von Gatekeeper nutzt, kann demnach nur Apps aus dem App Store von Apple und von zugelassenen Entwicklern signierte Anwendungen installieren.

Um die Gatekeeper-Funktion zu umgehen, haben die Angreifer das Update-Paket für den BitTorrent-Client Transmission mit einem von Apple zugelassenen Entwickler-Zertifikat versehen. Das Zertifikat stammt von einem Entwickler in der Türkei mit der ID Z7276PX673. Allerdings wurde für die vorangegangen Versionen des Transmission-Installers eine andere Entwickler-ID angegeben. Bereits zum wiederholten Male ist es Cyberkriminellen damit gelungen, Gatekeeper durch das Kapern echter Zertifikate auszuhebeln. Schon 2013 wurde die Spionagesoftware MAC.OSX.Backdoor.KitM.A auf Macs von angolanischen Bürgerrechtlern entdeckt, die ein digitales Zertifikat missbraucht hatte.

Sobald der infizierte Installer ausgeführt wird, verbindet sich der Trojaner über TOR mit einem Command-and-Control-Server und startet die Verschlüsselung der Daten auf dem befallenen Mac. Nach Abschluss wird die Textdatei README_FOR_DECRYPT.txt generiert, die Anweisungen für die Lösegeldzahlung enthält.

„Die Verschlüsselungsfunktionen von KeRanger sind die gleichen wie bei Linux.Encoder, sie tragen sogar die gleichen Namen wie encrypt_file, recursive_task, currentTimestamp und createDaemon“, sagt Catalin Cosoi, Chief Security Strategist bei Bitdefender. „Die gesamte Verschlüsselungsroutine ist identisch.“

AUSSPERREN REICHT NICHT

Noch vor sechs Monaten waren ausschließlich Windows- und Android-Nutzer durch Ransomware bedroht. Doch im Dezember 2015 hatte die erste Ransomware für Linux mehrere tausend Server befallen. Glücklicherweise ist es den Forschern von Bitdefender gelungen, den Verschlüsselungsalgorithmus auszuhebeln und Entschlüsselungswerkzeuge für alle vier Varianten der Schadsoftware bereitzustellen. Anscheinend haben die Entwickler von Linux.Encoder entweder selbst ihren Code für Mac OS X umgeschrieben und verbreitet oder ihn an eine auf MAC OS X spezialisierte Bande verkauft.

„Es sollte nicht unerwähnt bleiben, dass eine ausgereifte, native Mac OS X-Sicherheitslösung mit verhaltensbasierten Echtzeit-Erkennungstechnologien den betroffenen Anwendern den notwendigen Schutz vor Befall und Verschlüsselung durch KeRanger hätte ermöglichen können“, so Cosoi weiter. „Um echte Sicherheit zu gewährleisten kann viel mehr getan werden, als nur nicht-signierte Software auszusperren.“ (pi)