Tausende von Webservern wurden bereits von einer neuartigen Ransomware infiziert und ihre Dateien von einem neuen Ransomware-Stamm namens Lilocked (oder Lilu) verschlüsselt. Wie
"Zdnet" berichtet, würden bereits seit Mitte Juli Systeme infiziert, die Intensität soll sich aber in den letzten zwei Wochen verschärft haben. Nach aktuellen Erkenntnissen scheint es die Lilocked-Ransomware allerdings nur auf Linux-basierte Systeme abgesehen zu haben.
Erste Berichte datieren auf Mitte Juli, nachdem erste Opfer die Lösegeldforderung von Lilocked auf ID Ransomware hochgeladen hatten, einer Website zur Identifizierung des Namens der Lösegeldsoftware, die das System eines Opfers infiziert hat.
Wie die Lilocked-Ransomware in Server eindringt und deren Inhalte verschlüsselt, ist derzeit unbekannt.
Ein Thread in einem russischsprachigen Forum stellt die Theorie auf, dass es die Angreifer auf Systeme mit veralteter Exim (E-Mail)-Software abgesehen haben könnten. Es wird auch erwähnt, dass es der Ransomware gelungen ist, mit unbekannten Mitteln Root-Zugriff auf Server zu erhalten.
Server, die von dieser Ransomware betroffen sind, sind leicht zu erkennen, da die meisten ihrer Dateien verschlüsselt sind und eine neue Dateierweiterung ".lilocked" tragen. Eine Kopie der Lösegeldnotiz (namens #README.lilocked) ist in jedem Ordner verfügbar, in dem die Lösegeldsoftware Dateien verschlüsselt. Die Benutzer werden damit zu einem Portal im Dark Web umgeleitet, wo sie aufgefordert werden, einen Schlüssel von der Lösegeldforderung einzugeben. Hier zeigt die Lilocked-Bande eine zweite Lösegeldforderung und bittet die Opfer um 0,03 Bitcoin (etwa 325 Dollar).
Lilocked verschlüsselt keine Systemdateien, sondern nur eine kleine Teilmenge von Dateierweiterungen wie HTML, SHTML, JS, CSS, PHP, INI und verschiedene Bilddateiformate. Das bedeutet, dass infizierte Server weiterhin normal laufen können. Laut dem französischen Sicherheitsforscher Benkow hat Lilocked bereits mehr als 6700 Server verschlüsselt, von denen viele indiziert und in den Google-Suchergebnissen zwischengespeichert wurden. Diese Schätzung dürfte aber zu niedrig sein, da viele infizierte Server, die die Malware gemeldet haben, nicht von Google oder anderen Suchmaschinen indiziert werden. Da der Mechanismus hinter der Ransomware noch nicht bekannt ist, gibt es keinen allgemeint gültigen Ratschlag, um dem Angriff zu entgehen. Grundsätzlich sollten aber immer starke Passwörter verwendet werden und Apps aktualisiert werden, sobald Sicherheits-Patches eintreffen.
(swe)