Krypto-Ransomware ist nicht nur eine Bedrohung für die Integrität von Daten, die auf den Festplatten von Endbenutzern und zugeordneten Netzwerkfreigaben gespeichert sind, sondern stellt auch erhebliche Risiken für Websites dar.
Die Auswirkungen, denen Website-Administratoren ausgesetzt sind, sind zweierlei. Einerseits können Cyberkriminelle heimlich bösartigen Code in eine Webseite einbetten, sodass jeder Besucher Opfer des Lösegeldtrojaners wird. Diese Methode ist untrennbar mit der Aktivität von Exploit-Kits verbunden, die Software-Schwachstellen auf Zielcomputern ausnutzen, um Malware zu hinterlegen.
Die andere Seite der Medaille ist, dass einige Ransomware-Stämme Websites selbst beeinträchtigen können. Zu diesem Zweck nutzen die Angreifer Techniken wie SQL-Injection, um eine Seite zu kompromittieren, auf die zugrunde liegende Datenbank zuzugreifen und alle darin enthaltenen Dateien zu verschlüsseln. Effektiv verweigert diese Routine die Zugänglichkeit der Site-Inhalte.
Die Infektion verunstaltet normalerweise die Website und ersetzt ihre Homepage durch Lösegeldforderungen. Obwohl dies wie ein Proof of Concept klingen mag, wurden die oben genannten Taktiken in der Praxis bereits einige Male umgesetzt.
Linux-Webserver unter Beschuss
Ein ausgeklügeltes Ransomware-Sample, synchronisiert Linux.Encoder letzten November aufgetaucht. Die Infektion zielte auf Websites ab, die von Linux betrieben werden. Als es auftauchte, war die Erkennungsrate gängiger Antivirus-Suiten zu schlecht, um die Payload abzufangen, als sie heimlich die Serverumgebung infiltrierte.
Linux.Encoder1 nutzt bekannte Schwachstellen in Website-Plugins und Anwendungen von Drittanbietern, einschließlich Warenkorblösungen. Ein möglicher Einstiegspunkt ist insbesondere eine Sicherheitslücke in Magento, einem weit verbreiteten Open-Source-Content-Management-System (CMS).
Die Kompromittierung führt zur Verschlüsselung von Dateien, die sich in den Home- und Backup-Verzeichnissen befinden, sowie von Systempfaden, in denen die Codebibliotheken, Seiten, Bilder und Skripte der Website gespeichert sind. Die Ransomware erstellt in jedem Ordner, der die verschlüsselten Elemente enthält, eine Textdatei mit Anweisungen zur Wiederherstellung.
Die Anforderungen der Hacker sind ziemlich hoch – sie verlangen 1 Bitcoin oder etwa 550 US-Dollar, um die Website-Daten in ihren ursprünglichen Zustand zurückzuversetzen. Die von dieser Ransomware verwendete AES-128-Verschlüsselung weist zu viel Entropie für Brute-Force auf, was viele Webmaster gezwungen hat, dafür zu zahlen.
Im Gegensatz zur überwältigenden Mehrheit der Ransomware-Plagen setzt Linux.Encoder.1 keine Frist für den Abschluss des Buyouts und die Höhe des Lösegelds verdoppelt sich im Laufe der Zeit nicht. Das ist vielleicht die einzige gute Nachricht für die Tausenden von Seitenadministratoren, die auf diese Sorte gestoßen sind.
WordPress-CMS ausgenutzt, um Ransomware zu bedienen
Ransomware-Betreiber haben das WordPress-CMS auch als Sprungbrett für Erpressungskampagnen genutzt. Vor einiger Zeit machte eine Massen-Website-Vergiftungskampagne Schlagzeilen. Die Verbrecher dahinter TeslaCrypt Ransomware wagte sich daran, verschleierten JavaScript-Code in Websites zu injizieren, die mit WordPress erstellt wurden.
Eine Reihe wichtiger Online-Ressourcen, darunter die New York Times und die BBC, wurden im Verlauf dieser Kampagne getroffen. Der anstößige Code leitete jede Person, die die kompromittierten Seiten besuchte, heimlich auf Zielseiten um, auf denen das berüchtigte Exploit-Kit namens Nuclear gehostet wurde.
Das Exploit-Kit nutzte veraltete Versionen von Adobe und Webbrowser auf den Computern der Besucher aus, um TeslaCrypt auszuführen. Obwohl dieser spezielle Ransomware-Stamm inzwischen nicht mehr existiert, wurde er durch andere Bedrohungen wie CryptXXX ersetzt. Daher geht der Scherz weiter.
Der Trojaner beeinflusst den Inhalt gehackter Websites nicht richtig, macht sie aber zu Verbreitern von Cyberinfektionen. Die infizierten Benutzer laufen Gefahr, ihre wertvollen Daten zu verlieren, darunter Microsoft Office-Dokumente, Mediendateien, Backups und Datenbanken. Berichten zufolge führt die Zahlung des Lösegelds nicht immer zur vollständigen Wiederherstellung der gesperrten Dateien.
Joomla CMS ist auch nicht kugelsicher
Bedrohungsakteure, die für die Ransomware TeslaCrypt verantwortlich sind, kompromittieren auch von Joomla gehostete Websites. Die Malware-Betreiber setzen die Angriffe über ungepatchte Plugins ein. Verschleierte iFrames, die im Zuge dieses Angriffs generiert wurden, verweisen auf bösartige URLs, von denen die meisten die CMS-Komponente „admedia“ enthalten. Wenn ein Benutzer die gehackte Seite besucht, löst das Admedia-Gate folglich eine Weiterleitung zu den Nuclear- oder Angler-Exploit-Kits aus.
Der Rest des Angriffs ist reine Formsache. Das Exploit-Kit erkennt Software-Schwachstellen auf dem Computer des Benutzers und fügt die ausführbare TeslaCrypt-Datei ein. Diese Routine beinhaltet keinen Website-Verunstaltungseffekt; Außerdem werden die Webmaster die fehlerhaften Iframes wahrscheinlich nicht so einfach erkennen. Das Ergebnis ist offensichtlich: Besucher infizieren sich, ihre persönlichen Dateien werden verschlüsselt und stehen vor dem Dilemma „Zahlen oder nicht zahlen“.
CTB-Locker für Websites
Der Lösegeld-Trojaner namens CTB-Locker operiert in zwei Bereichen gleichzeitig: Er zielt sowohl auf Endbenutzer als auch auf Websites ab. Es greift WordPress-Sites über Plugins von Drittanbietern an, die Sicherheitslücken aufweisen. Nachdem eine Webseite kompromittiert wurde, ersetzt die Ransomware die Datei index.php oder index.html durch eine betrügerische Datei. Die Infektion benennt um, verschlüsselt und speichert die ursprüngliche Hauptdatei der Website im Webstammverzeichnis.
CTB-Locker verwendet AES-256-Verschlüsselung, um den Inhalt der gehackten Webseite zu verschlüsseln. Es ersetzt auch die Homepage durch einen Bildschirm, der erklärt, was passiert ist, und weist den Webmaster an, wie er das Lösegeld zur Wiederherstellung senden kann. Das Schadprogramm generiert zwei AES-Schlüssel. Einer wird verwendet, um zwei Dateien kostenlos zu verschlüsseln und zu entschlüsseln, eine Option, die der Ransomware-Autor „freundlicherweise“ anbietet. Der andere Schlüssel wird verwendet, um alle anderen Dateien auf der Website zu codieren.
Durch Ransomware unkenntlich gemachte Drupal-Sites
Drupal ist ein weiteres beliebtes Content-Management-System, dessen Liebhaber CMS-Updates ernster nehmen sollten. Eine Reihe von Angriffen führte dazu, dass etwa 400 Drupal-Websites gesperrt wurden. Die Angreifer nutzten eine alte Schwachstelle (CVE-2014-3704), um ohne großen Aufwand einen SQL-Injection-Angriff auszulösen. Die Betrüger konnten die .htaccess-Datei löschen, die administrativen Zugangsdaten ändern und die Ransomware hochladen.
Die Infektion ersetzt die Homepage der Drupal-Site durch eine Warnmeldung, die Bitcoins auffordert, den Inhalt freizuschalten. Tatsächlich ist dies eher ein Hijack als ein Krypto-Angriff, da der Schädling eigentlich keine Daten verschlüsselt. Um jedoch wieder vollen Zugriff auf die Seite zu erhalten, müssen die Webmaster etwas Geld ausgeben.
So bleiben Sie auf der sicheren Seite
Der Drupal-Vorfall ist ziemlich demonstrativ, was die Prävention betrifft. Die Schwachstelle, die die Hacker ausgenutzt haben, ist zwei Jahre alt. Das bedeutet, dass die Webmaster das CMS unvorstellbar lange nicht aktualisiert haben. Gleiches gilt auch für die anderen Fälle. Jede Ransomware-Infektion lässt sich leichter verhindern als zu heilen. Als Faustregel gilt, Sicherheitslücken im Content Management System und Plugins von Drittanbietern zu patchen, sobald diese Updates verfügbar sind.
Eine weitere wichtige Technik zur Schadensbegrenzung besteht darin, sichere Backups der Komponenten der Website zu führen. Achten Sie auf die Multi-Faktor-Autorisierung. Es kann das Risiko ernsthaft reduzieren. Es ist jedoch nicht kugelsicher, wie es einige Gauner verwenden versteckte Spionage-Apps um Telefone abzuhören und Bestätigungsnachrichten abzufangen.
