KeRanger ist erste Plattform-übergreifende Ransomware KeRanger ist erste Plattform-übergreifende Ransomware - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


11.03.2016 Rudolf Felser/pi

KeRanger ist erste Plattform-übergreifende Ransomware

Hinter KeRanger verbirgt sich laut Bitdefender eine für Mac OS X adaptierte Version der Linux-Ransomware Linux.Encoder4.

© alphaspirit - Fotolia.com

Die Erpresser-Software KeRanger hat weltweit für Schlagzeilen gesorgt: Als erste voll funktionsfähige Ransomware für Mac OS X und gleichzeitig erster Mac OS X-Schadcode mit einem gültigen Zertifikat eines zugelassenen Entwicklers. Bitdefender hat den Code genau unter die Lupe genommen und ein weiteres hochinteressantes Detail entdeckt: KeRanger ist die erste Plattform-übergreifende Ransomware der Geschichte. Hinter KeRanger verbirgt sich nämlich eine für Mac OS X adaptierte Version der Linux-Ransomware Linux.Encoder4, die seit Anfang 2016 tausende von Servern befallen hat. Bei einer Analyse durch die Bitdefender Labs hat sich gezeigt, dass beide Schadcodes nahezu identisch sind.

VERTEIDIGUNG VON OS X DURCHBROCHEN

Seit dem Update Mountain Lion enthält Mac OS X die neue Funktion Gatekeeper, die vor Malware und zweifelhaften Apps aus dem Internet schützen soll. Wer die Standardeinstellungen von Gatekeeper nutzt, kann demnach nur Apps aus dem App Store von Apple und von zugelassenen Entwicklern signierte Anwendungen installieren.

Um die Gatekeeper-Funktion zu umgehen, haben die Angreifer das Update-Paket für den BitTorrent-Client Transmission mit einem von Apple zugelassenen Entwickler-Zertifikat versehen. Das Zertifikat stammt von einem Entwickler in der Türkei mit der ID Z7276PX673. Allerdings wurde für die vorangegangen Versionen des Transmission-Installers eine andere Entwickler-ID angegeben. Bereits zum wiederholten Male ist es Cyberkriminellen damit gelungen, Gatekeeper durch das Kapern echter Zertifikate auszuhebeln. Schon 2013 wurde die Spionagesoftware MAC.OSX.Backdoor.KitM.A auf Macs von angolanischen Bürgerrechtlern entdeckt, die ein digitales Zertifikat missbraucht hatte.

Sobald der infizierte Installer ausgeführt wird, verbindet sich der Trojaner über TOR mit einem Command-and-Control-Server und startet die Verschlüsselung der Daten auf dem befallenen Mac. Nach Abschluss wird die Textdatei README_FOR_DECRYPT.txt generiert, die Anweisungen für die Lösegeldzahlung enthält.

"Die Verschlüsselungsfunktionen von KeRanger sind die gleichen wie bei Linux.Encoder, sie tragen sogar die gleichen Namen wie encrypt_file, recursive_task, currentTimestamp und createDaemon", sagt Catalin Cosoi, Chief Security Strategist bei Bitdefender. "Die gesamte Verschlüsselungsroutine ist identisch."

AUSSPERREN REICHT NICHT

Noch vor sechs Monaten waren ausschließlich Windows- und Android-Nutzer durch Ransomware bedroht. Doch im Dezember 2015 hatte die erste Ransomware für Linux mehrere tausend Server befallen. Glücklicherweise ist es den Forschern von Bitdefender gelungen, den Verschlüsselungsalgorithmus auszuhebeln und Entschlüsselungswerkzeuge für alle vier Varianten der Schadsoftware bereitzustellen. Anscheinend haben die Entwickler von Linux.Encoder entweder selbst ihren Code für Mac OS X umgeschrieben und verbreitet oder ihn an eine auf MAC OS X spezialisierte Bande verkauft.

"Es sollte nicht unerwähnt bleiben, dass eine ausgereifte, native Mac OS X-Sicherheitslösung mit verhaltensbasierten Echtzeit-Erkennungstechnologien den betroffenen Anwendern den notwendigen Schutz vor Befall und Verschlüsselung durch KeRanger hätte ermöglichen können", so Cosoi weiter. "Um echte Sicherheit zu gewährleisten kann viel mehr getan werden, als nur nicht-signierte Software auszusperren." (pi)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • SNP AUSTRIA GmbH

    SNP AUSTRIA GmbH Qualitätssicherung, Kaufmännische Software (ERP), Tools, Programmiersprachen, Datenkonvertierung, Übernahme von Softwareprojekten, Systempflege- und Wartung,... mehr
  • Fabasoft AG

    Fabasoft AG Vereine und Verbände, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Luft- und Raumfahrttechnik, Freie Berufe, Finanzdienstleistungen, Qualitätssicherung,... mehr
  • selectyco Media Solutions GmbH

    selectyco Media Solutions GmbH B2C Dienste und Lösungen, B2B Dienste und Lösungen mehr
  • Anexia

    Anexia Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, RZ-Dienstleistungen, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines mehr

Hosted by:    Security Monitoring by: