Ransomware ( jetzt werden Server direkt infiziert!)

Moin ,

auf Winfuture kam gerade diese Meldung:

Über 3 Millionen Server sind von aktuell aktiver Ransomware bedroht

Aktuelle Angriffe der Ransomware-Szene auf Server machen deutlich, dass auch beim professionelleren Rechner-Betrieb nicht wesentlich erfolgreicher auf die Sicherheit geachtet wird, als bei PCs in privaten Händen. Eine aktuell ausgenutzte Schwachstelle ist beispielsweise auf mindestens 3 Millionen Geräten vorhanden. In der vergangenen Woche wurde eine Ransomware entdeckt, die über eine Sicherheitslücke im Application-Server JBoss auf die angegriffenen Server gelangt. Sicherheits-Experten des Netzwerkausrüsters Cisco führten daraufhin einen Scan des Netzes aus und fanden bisher rund 3 Millionen Systeme, auf denen anfällige Varianten der Software betrieben werden.

Bei der Untersuchung wurden auch 2.100 Server gefunden, die offenbar bereits von der Malware infiltriert wurden. Auf diesen wurden erst einmal Backdoors installiert, die es den Angreifern jederzeit ermöglichen sollen, mit ihrer Erpressungs-Methode zuzuschlagen. Die betroffenen Systeme verteilen sich den Angaben zufolge auf etwa 1.600 verschiedene IP-Adressen. Besondere Häufungen fanden sich hier bei Schulen, Behörden und Luftfahrts-Unternehmen.


Dass besonders auch Bildungseinrichtungen betroffen sind, dürfte daran liegen, dass unsichere Varianten von JBoss als Basis des Verwaltungs-Systems Destiny dienten. Dabei handelt es sich um eine Software, die es beispielsweise Bibliotheken ermöglicht, den Verleih von Büchern und anderen Dingen zu managen. Deren Entwickler Follett Learning hat die Sicherheitslücke bereits behoben und auf dem aktuellsten Stand sorgt die Software nun auch dafür, dass Rechner, mit denen sie kommuniziert, überprüft und vorhandene Hintertüren geschlossen werden.

Ausmaß dürfte noch wachsen
Obwohl inzwischen also Gegenmaßnahmen eingeleitet wurden, könnte das Problem in der kommenden Zeit noch wesentlich größere Dimensionen annehmen. Denn es wurden bereits weitere Server-Anwendungen ausfindig gemacht, die Schwachstellen aufweisen, die von der fraglichen Malware ausgenutzt werden können. Die Server, auf denen diese laufen, wurden in der aktuellen Zählung zum Teil noch nicht berücksichtigt.

Angriffe auf Server haben sich für die Ransomware-Szene als durchaus lohnend herausgestellt - allerdings erfordern sie ein etwas anderes vorgehen als bei Privatkunden. Denn Grundsätzlich sind hier in der Regel Backups vorhanden, so dass der Angriff eines Krypto-Trojaners eigentlich ins Leere laufen würde. Bei konkreten Attacken geht es daher vor allem darum, dass die Betreiber zur Zahlung des Lösegeldes gebracht werden, um erst einmal sicherzustellen, dass das jeweilige System schnell wieder online geht. Ausfallzeiten können hier immerhin recht schnell einen finanziellen Schaden verursachen, der die geforderte Summe übersteigt. Das macht es aber erforderlich, zu einem möglichst guten Zeitpunkt zuzuschlagen, statt blind riesige Mengen an Rechnern zu infizieren, wie es bei Privatnutzern der Fall ist.

Ich nutze ja Antiransomware von Antimalwarebyte,

aber es gibt jetzt auch von Bitdefender ein Programm dagegen.

bitdefender antiransoftware

https://labs.bitdefender.com/2016/03/combination-crypto-ransomware-vacci ...

Hat hier jemand Erfahrung ?

Gruss

Werner

Content-Key: 302190

Url: https://administrator.de/contentid/302190

Ausgedruckt am: 23.09.2021 um 21:09 Uhr

Mitglied: DerWoWusste
Lösung DerWoWusste 18.04.2016 um 13:57:28 Uhr
Goto Top
Moin Werner.

Lassen wir bei all der Aufregung um Ransomware doch mal die Kirche im Dorf.
Jede Woche neue Meldungen über bestimmte Details ändern nichts an der Lage oder gar am Prinzip Ransomware. Ob es nun jboss oder sonstwas ist, macht doch keinen Unterschied. Und "jetzt" kannst Du aus Deinem Titel getrost streichen, das stimmt ja nun mal gar nicht. Das von remote Server angegriffen werden ist etwas Neues?

Du möchtest gerne ein Schutzprogramm ausführen, das Ransomware heuristisch erkennt, warum lässt Du sie denn übehaupt zur Ausführung kommen? Nimm dir die üblichen Verdächtigen zur Hand, Applocker oder Software restriction Policies und dann wird nichts Unbekanntes mehr ausgeführt, egal wie es nun auf den Rechner/Server gelangt.
Mitglied: kontext
kontext 18.04.2016 um 14:29:42 Uhr
Goto Top
Moin @DerWoWusste,

schau mal hier - ist im Grunde nur die "erweiterte" Frage zu diesem Info-Thread ...
https://www.administrator.de/wissen/virus-locky-antiransomware-neue-vers ...

Wurde schon so gut wie alles durchgenommen
Just my 2 Cents
@kontext
Mitglied: aqui
aqui 19.04.2016 um 08:58:45 Uhr
Goto Top
Über 3 Millionen Server sind von aktuell aktiver Ransomware bedroht
Kann man sich als Mac OS-X User nur entspant zurücklehnen und sich einen feixen....
Mitglied: DerWoWusste
DerWoWusste 19.04.2016 um 09:09:18 Uhr
Goto Top
Interessant, Aqui. Du sagst, jboss müsste man auf Mac OS nicht patchen, secure-by-default?
Mitglied: 1Werner1
1Werner1 19.04.2016 um 12:09:37 Uhr
Goto Top
Hallo aqiu,

leider ist das nicht so .

lies das mal:

http://www.t-online.de/computer/sicherheit/id_77189046/wie-locky-erpres ...

Gruss

Werner
Mitglied: 1Werner1
1Werner1 19.04.2016 um 12:16:01 Uhr
Goto Top
Moin DerWoWusste,

gut für dich vielleicht nichts neues, aber ich denke es sind noch mehrere User,
denen das vielleicht interessiert.

Du möchtest gerne ein Schutzprogramm ausführen, das Ransomware heuristisch erkennt, warum lässt Du sie denn übehaupt zur Ausführung kommen? Nimm dir die üblichen Verdächtigen zur Hand, Applocker oder Software restriction Policies und dann wird nichts Unbekanntes mehr ausgeführt, egal wie es nun auf den Rechner/Server gelangt.

Das gibt es natürlich nicht, weil die Ransomware keine Erkennungsignatur (heuristische Suche) im Anhang hat, sondern auf normalen Script Befehlen oder ähliches aufgebaut ist, die dann die gefährliche Software herunterladen oder die Daten entsprechend den Befehlen verschlüsselt.

Gruss

Werner
Mitglied: Eritrea
Eritrea 06.10.2017 um 12:40:28 Uhr
Goto Top
Ich bin kein Spezialist, aber es scheint mir der beste Schutz gegen Ransomware
das ist gesunder Menschenverstand.
Heiß diskutierte Beiträge
question
Unternehmensnetzwerk aufbauenbluelightVor 1 TagFrageNetzwerke12 Kommentare

Moin zusammen, erstmal vielen Dank an der Stelle, dass mir beim letzten mal so super geholfen wurde! Aktuelle Situation: -> 5 VMs bei Netcup -> ...

question
Netzwerkdosen verbindenR3nN1979Vor 1 TagFrageInternet7 Kommentare

Hallo, Ich ziehe bald um, und benötige dabei Hilfe, wie ich Netzwerkdosen miteinander verbinden kann. Habe überhaupt keine Ahnung davon, aber mir kann jemand von ...

general
Endpoint AV für FirmenumgebungKauzigVor 1 TagAllgemeinErkennung und -Abwehr18 Kommentare

Hallo, aktuell bin ich am Suchen einer Endpoint AV für meine Firmenumgebung wichtig wäre mir ein zentrales Management sowie ggf. sogar ein Patch System. Aktuell ...

question
Ein Domänenbenutzer für alle MitarbeiterMarabuntaVor 1 TagFrageWindows Userverwaltung6 Kommentare

Hi, ist es möglich/sinnvoll bzw. wie ist es lizenztechnisch, wenn es einen Domänen-Benutzer für alle Mitarbeiter(10) gibt, diese Benutzen eine Branchensoftware in der jeder eigene ...

question
Hardware Empfehlung für Selbstbau Firewall mit pfSense bzw. OPNsensePete55Vor 19 StundenFrageFirewall12 Kommentare

Hallo Zusammen, an meinem Anschluss von Vodafone (Red Business Internet & Phone 500 Cable) habe ich als Firewall immer noch ein APU1D4 auf dem IPfire ...

question
Powershell Logon Script Problematikjoe2017Vor 1 TagFrageBatch & Shell19 Kommentare

Schönen guten Morgen, ich habe eine Frage an die Spezialisten hier. Denn ich bin gerade ratlos und am verzweifeln. Ich habe in meinem Domain Controler ...

question
Was ist die beste Lösung für servergespeicherte Profile für 10 Rechner?Yan2021Vor 20 StundenFrageNetzwerke9 Kommentare

Hallo liebe Admin-User, in einem anderen Thread ging es um die Sicherung von Dienst-PCs per Image. Daraus entstand dann eine Diskussion über servergespeicherte Profile. Da ...

question
Bewertung von Rechnern (Gewichtung von CPU, RAM und Festspeicher)SarekHLVor 1 TagFrageBenchmarks11 Kommentare

Hallo zusammen, ich habe hier eine Aufstellung verschiedener Rechner mit - Leistungsbewertung der CPU mit CPUMark (Quelle: - Größe Arbeitsspeicher - SSD oder HDD Wie ...