Ransomware ( jetzt werden Server direkt infiziert!)
Moin ,
auf Winfuture kam gerade diese Meldung:
Über 3 Millionen Server sind von aktuell aktiver Ransomware bedroht
Aktuelle Angriffe der Ransomware-Szene auf Server machen deutlich, dass auch beim professionelleren Rechner-Betrieb nicht wesentlich erfolgreicher auf die Sicherheit geachtet wird, als bei PCs in privaten Händen. Eine aktuell ausgenutzte Schwachstelle ist beispielsweise auf mindestens 3 Millionen Geräten vorhanden. In der vergangenen Woche wurde eine Ransomware entdeckt, die über eine Sicherheitslücke im Application-Server JBoss auf die angegriffenen Server gelangt. Sicherheits-Experten des Netzwerkausrüsters Cisco führten daraufhin einen Scan des Netzes aus und fanden bisher rund 3 Millionen Systeme, auf denen anfällige Varianten der Software betrieben werden.
Bei der Untersuchung wurden auch 2.100 Server gefunden, die offenbar bereits von der Malware infiltriert wurden. Auf diesen wurden erst einmal Backdoors installiert, die es den Angreifern jederzeit ermöglichen sollen, mit ihrer Erpressungs-Methode zuzuschlagen. Die betroffenen Systeme verteilen sich den Angaben zufolge auf etwa 1.600 verschiedene IP-Adressen. Besondere Häufungen fanden sich hier bei Schulen, Behörden und Luftfahrts-Unternehmen.
Dass besonders auch Bildungseinrichtungen betroffen sind, dürfte daran liegen, dass unsichere Varianten von JBoss als Basis des Verwaltungs-Systems Destiny dienten. Dabei handelt es sich um eine Software, die es beispielsweise Bibliotheken ermöglicht, den Verleih von Büchern und anderen Dingen zu managen. Deren Entwickler Follett Learning hat die Sicherheitslücke bereits behoben und auf dem aktuellsten Stand sorgt die Software nun auch dafür, dass Rechner, mit denen sie kommuniziert, überprüft und vorhandene Hintertüren geschlossen werden.
Ausmaß dürfte noch wachsen
Obwohl inzwischen also Gegenmaßnahmen eingeleitet wurden, könnte das Problem in der kommenden Zeit noch wesentlich größere Dimensionen annehmen. Denn es wurden bereits weitere Server-Anwendungen ausfindig gemacht, die Schwachstellen aufweisen, die von der fraglichen Malware ausgenutzt werden können. Die Server, auf denen diese laufen, wurden in der aktuellen Zählung zum Teil noch nicht berücksichtigt.
Angriffe auf Server haben sich für die Ransomware-Szene als durchaus lohnend herausgestellt - allerdings erfordern sie ein etwas anderes vorgehen als bei Privatkunden. Denn Grundsätzlich sind hier in der Regel Backups vorhanden, so dass der Angriff eines Krypto-Trojaners eigentlich ins Leere laufen würde. Bei konkreten Attacken geht es daher vor allem darum, dass die Betreiber zur Zahlung des Lösegeldes gebracht werden, um erst einmal sicherzustellen, dass das jeweilige System schnell wieder online geht. Ausfallzeiten können hier immerhin recht schnell einen finanziellen Schaden verursachen, der die geforderte Summe übersteigt. Das macht es aber erforderlich, zu einem möglichst guten Zeitpunkt zuzuschlagen, statt blind riesige Mengen an Rechnern zu infizieren, wie es bei Privatnutzern der Fall ist.
Ich nutze ja Antiransomware von Antimalwarebyte,
aber es gibt jetzt auch von Bitdefender ein Programm dagegen.
https://labs.bitdefender.com/2016/03/combination-crypto-ransomware-vacci ...
Hat hier jemand Erfahrung ?
Gruss
Werner
auf Winfuture kam gerade diese Meldung:
Über 3 Millionen Server sind von aktuell aktiver Ransomware bedroht
Aktuelle Angriffe der Ransomware-Szene auf Server machen deutlich, dass auch beim professionelleren Rechner-Betrieb nicht wesentlich erfolgreicher auf die Sicherheit geachtet wird, als bei PCs in privaten Händen. Eine aktuell ausgenutzte Schwachstelle ist beispielsweise auf mindestens 3 Millionen Geräten vorhanden. In der vergangenen Woche wurde eine Ransomware entdeckt, die über eine Sicherheitslücke im Application-Server JBoss auf die angegriffenen Server gelangt. Sicherheits-Experten des Netzwerkausrüsters Cisco führten daraufhin einen Scan des Netzes aus und fanden bisher rund 3 Millionen Systeme, auf denen anfällige Varianten der Software betrieben werden.
Bei der Untersuchung wurden auch 2.100 Server gefunden, die offenbar bereits von der Malware infiltriert wurden. Auf diesen wurden erst einmal Backdoors installiert, die es den Angreifern jederzeit ermöglichen sollen, mit ihrer Erpressungs-Methode zuzuschlagen. Die betroffenen Systeme verteilen sich den Angaben zufolge auf etwa 1.600 verschiedene IP-Adressen. Besondere Häufungen fanden sich hier bei Schulen, Behörden und Luftfahrts-Unternehmen.
Dass besonders auch Bildungseinrichtungen betroffen sind, dürfte daran liegen, dass unsichere Varianten von JBoss als Basis des Verwaltungs-Systems Destiny dienten. Dabei handelt es sich um eine Software, die es beispielsweise Bibliotheken ermöglicht, den Verleih von Büchern und anderen Dingen zu managen. Deren Entwickler Follett Learning hat die Sicherheitslücke bereits behoben und auf dem aktuellsten Stand sorgt die Software nun auch dafür, dass Rechner, mit denen sie kommuniziert, überprüft und vorhandene Hintertüren geschlossen werden.
Ausmaß dürfte noch wachsen
Obwohl inzwischen also Gegenmaßnahmen eingeleitet wurden, könnte das Problem in der kommenden Zeit noch wesentlich größere Dimensionen annehmen. Denn es wurden bereits weitere Server-Anwendungen ausfindig gemacht, die Schwachstellen aufweisen, die von der fraglichen Malware ausgenutzt werden können. Die Server, auf denen diese laufen, wurden in der aktuellen Zählung zum Teil noch nicht berücksichtigt.
Angriffe auf Server haben sich für die Ransomware-Szene als durchaus lohnend herausgestellt - allerdings erfordern sie ein etwas anderes vorgehen als bei Privatkunden. Denn Grundsätzlich sind hier in der Regel Backups vorhanden, so dass der Angriff eines Krypto-Trojaners eigentlich ins Leere laufen würde. Bei konkreten Attacken geht es daher vor allem darum, dass die Betreiber zur Zahlung des Lösegeldes gebracht werden, um erst einmal sicherzustellen, dass das jeweilige System schnell wieder online geht. Ausfallzeiten können hier immerhin recht schnell einen finanziellen Schaden verursachen, der die geforderte Summe übersteigt. Das macht es aber erforderlich, zu einem möglichst guten Zeitpunkt zuzuschlagen, statt blind riesige Mengen an Rechnern zu infizieren, wie es bei Privatnutzern der Fall ist.
Ich nutze ja Antiransomware von Antimalwarebyte,
aber es gibt jetzt auch von Bitdefender ein Programm dagegen.
https://labs.bitdefender.com/2016/03/combination-crypto-ransomware-vacci ...
Hat hier jemand Erfahrung ?
Gruss
Werner
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 302190
Url: https://administrator.de/forum/ransomware-jetzt-werden-server-direkt-infiziert-302190.html
Ausgedruckt am: 22.12.2024 um 08:12 Uhr
7 Kommentare
Neuester Kommentar
Moin Werner.
Lassen wir bei all der Aufregung um Ransomware doch mal die Kirche im Dorf.
Jede Woche neue Meldungen über bestimmte Details ändern nichts an der Lage oder gar am Prinzip Ransomware. Ob es nun jboss oder sonstwas ist, macht doch keinen Unterschied. Und "jetzt" kannst Du aus Deinem Titel getrost streichen, das stimmt ja nun mal gar nicht. Das von remote Server angegriffen werden ist etwas Neues?
Du möchtest gerne ein Schutzprogramm ausführen, das Ransomware heuristisch erkennt, warum lässt Du sie denn übehaupt zur Ausführung kommen? Nimm dir die üblichen Verdächtigen zur Hand, Applocker oder Software restriction Policies und dann wird nichts Unbekanntes mehr ausgeführt, egal wie es nun auf den Rechner/Server gelangt.
Lassen wir bei all der Aufregung um Ransomware doch mal die Kirche im Dorf.
Jede Woche neue Meldungen über bestimmte Details ändern nichts an der Lage oder gar am Prinzip Ransomware. Ob es nun jboss oder sonstwas ist, macht doch keinen Unterschied. Und "jetzt" kannst Du aus Deinem Titel getrost streichen, das stimmt ja nun mal gar nicht. Das von remote Server angegriffen werden ist etwas Neues?
Du möchtest gerne ein Schutzprogramm ausführen, das Ransomware heuristisch erkennt, warum lässt Du sie denn übehaupt zur Ausführung kommen? Nimm dir die üblichen Verdächtigen zur Hand, Applocker oder Software restriction Policies und dann wird nichts Unbekanntes mehr ausgeführt, egal wie es nun auf den Rechner/Server gelangt.
Moin @DerWoWusste,
schau mal hier - ist im Grunde nur die "erweiterte" Frage zu diesem Info-Thread ...
Virus Locky - Antiransomware (neue Version)-Bitdefender Antiransomware (neue Version )
Wurde schon so gut wie alles durchgenommen
Just my 2 Cents
@kontext
schau mal hier - ist im Grunde nur die "erweiterte" Frage zu diesem Info-Thread ...
Virus Locky - Antiransomware (neue Version)-Bitdefender Antiransomware (neue Version )
Wurde schon so gut wie alles durchgenommen
Just my 2 Cents
@kontext