Ransomware ( jetzt werden Server direkt infiziert!)

Mitglied: 1Werner1

1Werner1 (Level 1) - Jetzt verbinden

18.04.2016 um 13:31 Uhr, 2526 Aufrufe, 7 Kommentare, 3 Danke

Moin ,

auf Winfuture kam gerade diese Meldung:

Über 3 Millionen Server sind von aktuell aktiver Ransomware bedroht

Aktuelle Angriffe der Ransomware-Szene auf Server machen deutlich, dass auch beim professionelleren Rechner-Betrieb nicht wesentlich erfolgreicher auf die Sicherheit geachtet wird, als bei PCs in privaten Händen. Eine aktuell ausgenutzte Schwachstelle ist beispielsweise auf mindestens 3 Millionen Geräten vorhanden. In der vergangenen Woche wurde eine Ransomware entdeckt, die über eine Sicherheitslücke im Application-Server JBoss auf die angegriffenen Server gelangt. Sicherheits-Experten des Netzwerkausrüsters Cisco führten daraufhin einen Scan des Netzes aus und fanden bisher rund 3 Millionen Systeme, auf denen anfällige Varianten der Software betrieben werden.

Bei der Untersuchung wurden auch 2.100 Server gefunden, die offenbar bereits von der Malware infiltriert wurden. Auf diesen wurden erst einmal Backdoors installiert, die es den Angreifern jederzeit ermöglichen sollen, mit ihrer Erpressungs-Methode zuzuschlagen. Die betroffenen Systeme verteilen sich den Angaben zufolge auf etwa 1.600 verschiedene IP-Adressen. Besondere Häufungen fanden sich hier bei Schulen, Behörden und Luftfahrts-Unternehmen.


Dass besonders auch Bildungseinrichtungen betroffen sind, dürfte daran liegen, dass unsichere Varianten von JBoss als Basis des Verwaltungs-Systems Destiny dienten. Dabei handelt es sich um eine Software, die es beispielsweise Bibliotheken ermöglicht, den Verleih von Büchern und anderen Dingen zu managen. Deren Entwickler Follett Learning hat die Sicherheitslücke bereits behoben und auf dem aktuellsten Stand sorgt die Software nun auch dafür, dass Rechner, mit denen sie kommuniziert, überprüft und vorhandene Hintertüren geschlossen werden.

Ausmaß dürfte noch wachsen
Obwohl inzwischen also Gegenmaßnahmen eingeleitet wurden, könnte das Problem in der kommenden Zeit noch wesentlich größere Dimensionen annehmen. Denn es wurden bereits weitere Server-Anwendungen ausfindig gemacht, die Schwachstellen aufweisen, die von der fraglichen Malware ausgenutzt werden können. Die Server, auf denen diese laufen, wurden in der aktuellen Zählung zum Teil noch nicht berücksichtigt.

Angriffe auf Server haben sich für die Ransomware-Szene als durchaus lohnend herausgestellt - allerdings erfordern sie ein etwas anderes vorgehen als bei Privatkunden. Denn Grundsätzlich sind hier in der Regel Backups vorhanden, so dass der Angriff eines Krypto-Trojaners eigentlich ins Leere laufen würde. Bei konkreten Attacken geht es daher vor allem darum, dass die Betreiber zur Zahlung des Lösegeldes gebracht werden, um erst einmal sicherzustellen, dass das jeweilige System schnell wieder online geht. Ausfallzeiten können hier immerhin recht schnell einen finanziellen Schaden verursachen, der die geforderte Summe übersteigt. Das macht es aber erforderlich, zu einem möglichst guten Zeitpunkt zuzuschlagen, statt blind riesige Mengen an Rechnern zu infizieren, wie es bei Privatnutzern der Fall ist.

Ich nutze ja Antiransomware von Antimalwarebyte,

aber es gibt jetzt auch von Bitdefender ein Programm dagegen.

bitdefender antiransoftware - Klicke auf das Bild, um es zu vergrößern

https://labs.bitdefender.com/2016/03/combination-crypto-ransomware-vacci ...

Hat hier jemand Erfahrung ?

Gruss

Werner

Mitglied: DerWoWusste
LÖSUNG 18.04.2016 um 13:57 Uhr
Moin Werner.

Lassen wir bei all der Aufregung um Ransomware doch mal die Kirche im Dorf.
Jede Woche neue Meldungen über bestimmte Details ändern nichts an der Lage oder gar am Prinzip Ransomware. Ob es nun jboss oder sonstwas ist, macht doch keinen Unterschied. Und "jetzt" kannst Du aus Deinem Titel getrost streichen, das stimmt ja nun mal gar nicht. Das von remote Server angegriffen werden ist etwas Neues?

Du möchtest gerne ein Schutzprogramm ausführen, das Ransomware heuristisch erkennt, warum lässt Du sie denn übehaupt zur Ausführung kommen? Nimm dir die üblichen Verdächtigen zur Hand, Applocker oder Software restriction Policies und dann wird nichts Unbekanntes mehr ausgeführt, egal wie es nun auf den Rechner/Server gelangt.
Bitte warten ..
Mitglied: kontext
18.04.2016 um 14:29 Uhr
Moin @DerWoWusste,

schau mal hier - ist im Grunde nur die "erweiterte" Frage zu diesem Info-Thread ...
https://www.administrator.de/wissen/virus-locky-antiransomware-neue-vers ...

Wurde schon so gut wie alles durchgenommen
Just my 2 Cents
@kontext
Bitte warten ..
Mitglied: aqui
19.04.2016 um 08:58 Uhr
Über 3 Millionen Server sind von aktuell aktiver Ransomware bedroht
Kann man sich als Mac OS-X User nur entspant zurücklehnen und sich einen feixen....
Bitte warten ..
Mitglied: DerWoWusste
19.04.2016 um 09:09 Uhr
Interessant, Aqui. Du sagst, jboss müsste man auf Mac OS nicht patchen, secure-by-default?
Bitte warten ..
Mitglied: 1Werner1
19.04.2016 um 12:09 Uhr
Hallo aqiu,

leider ist das nicht so .

lies das mal:

http://www.t-online.de/computer/sicherheit/id_77189046/wie-locky-erpres ...

Gruss

Werner
Bitte warten ..
Mitglied: 1Werner1
19.04.2016 um 12:16 Uhr
Moin DerWoWusste,

gut für dich vielleicht nichts neues, aber ich denke es sind noch mehrere User,
denen das vielleicht interessiert.

Du möchtest gerne ein Schutzprogramm ausführen, das Ransomware heuristisch erkennt, warum lässt Du sie denn übehaupt zur Ausführung kommen? Nimm dir die üblichen Verdächtigen zur Hand, Applocker oder Software restriction Policies und dann wird nichts Unbekanntes mehr ausgeführt, egal wie es nun auf den Rechner/Server gelangt.

Das gibt es natürlich nicht, weil die Ransomware keine Erkennungsignatur (heuristische Suche) im Anhang hat, sondern auf normalen Script Befehlen oder ähliches aufgebaut ist, die dann die gefährliche Software herunterladen oder die Daten entsprechend den Befehlen verschlüsselt.

Gruss

Werner
Bitte warten ..
Der Kommentar von Hennrich wurde vom Moderator Dani am 25.04.16 ausgeblendet!
Mitglied: Eritrea
06.10.2017 um 12:40 Uhr
Ich bin kein Spezialist, aber es scheint mir der beste Schutz gegen Ransomware
das ist gesunder Menschenverstand.
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Infrastruktur für Firma
brainwashVor 1 TagFrageWindows Server8 Kommentare

Hallo zusammen, kurze Erklärung zu meinem Problem Wir sind eine kleine Firma mit zwei Standorten im Bereich Brandschutz. Zur Zeit nutzen wir für unsere ...

Server-Hardware
Verkaufe RX300 S7 Server von Fuijutsu
HolzBrettVor 1 TagAllgemeinServer-Hardware12 Kommentare

Hi, Ich wohne in Aachen und habe die Server von der Firma umsonst erhalten. Ich habe sie bereits überprüft (es geht alles). Ich möchte ...

Windows 10
Netzwerkzugriff intern extern blockiert nach Aufbau NordVPN Verbindung
Slavik-10Vor 23 StundenFrageWindows 1029 Kommentare

hallo Leute, ich habe mir vor kurzem ein VPN Anbieter bestellt. Das Problem an der ganzen Sache ist, sobald eine VPN Verbindung zu einem ...

Netzwerkprotokolle
Proxy Zugang von Extern
gelöst Jannik2018Vor 1 TagFrageNetzwerkprotokolle17 Kommentare

Hallo zusammen, ich habe mir einen Squid Proxy auf einer Linux VM aufgesetzt und möchte das man aus allen netzen drauf zugreifen kann allerdings ...

Off Topic
Namenskonzept Kundengeräte
bitnarratorVor 16 StundenFrageOff Topic5 Kommentare

Hallo, ich möchte gerne einmal die Diskussion anstoßen, weil ich eine hier in diese Richtung noch nichts gefunden habe. Es geht um die Bennenung ...

Windows Server
Kein Internetzugriff bei einem Domänenclient
KerberoVor 23 StundenFrageWindows Server14 Kommentare

Hallo community, ich habe ein ganz komisches Verhalten eines Clients bei mir. Ich habe eine kleine Domäne (6 Clients und ein Windows Server 2016 ...

LAN, WAN, Wireless
Verständnisfrage VPN Performance pfSense
flabsVor 1 TagFrageLAN, WAN, Wireless8 Kommentare

Moin Kollegen, ich betreibe 3 pfSense Firewalls an 3 Standorten. Zwischen Standort A und B gibt es einen IPSec Tunnel. Der läuft seit Jahren ...

Sicherheit
Verpackter Laptop entwendet
r0x3llVor 5 StundenFrageSicherheit9 Kommentare

Hallo. Mir wurde aus dem Büro ein noch verpackter Dell XPS Laptop mit einem Wert von ca 3.500€ gestohlen. Kann man da was orten? ...