Tausende von Servern mit neuer Lilocked (Lilu) Ransomware infiziert
Quelle: Bitdefender

Tausende von Servern mit neuer Lilocked (Lilu) Ransomware infiziert

Lilu, auch bekannt als Lilocked, ist eine relativ neue Ransomware, die sich speziell Linux-Server vornimmt. Die Ransomware infiziert seit Mitte Juli Systeme und hat bisher mindestens 6700 Geräte angegriffen.
9. September 2019

     

Tausende von Webservern wurden bereits von einer neuartigen Ransomware infiziert und ihre Dateien von einem neuen Ransomware-Stamm namens Lilocked (oder Lilu) verschlüsselt. Wie "Zdnet" berichtet, würden bereits seit Mitte Juli Systeme infiziert, die Intensität soll sich aber in den letzten zwei Wochen verschärft haben. Nach aktuellen Erkenntnissen scheint es die Lilocked-Ransomware allerdings nur auf Linux-basierte Systeme abgesehen zu haben.

Erste Berichte datieren auf Mitte Juli, nachdem erste Opfer die Lösegeldforderung von Lilocked auf ID Ransomware hochgeladen hatten, einer Website zur Identifizierung des Namens der Lösegeldsoftware, die das System eines Opfers infiziert hat.


Wie die Lilocked-Ransomware in Server eindringt und deren Inhalte verschlüsselt, ist derzeit unbekannt. Ein Thread in einem russischsprachigen Forum stellt die Theorie auf, dass es die Angreifer auf Systeme mit veralteter Exim (E-Mail)-Software abgesehen haben könnten. Es wird auch erwähnt, dass es der Ransomware gelungen ist, mit unbekannten Mitteln Root-Zugriff auf Server zu erhalten.
Server, die von dieser Ransomware betroffen sind, sind leicht zu erkennen, da die meisten ihrer Dateien verschlüsselt sind und eine neue Dateierweiterung ".lilocked" tragen. Eine Kopie der Lösegeldnotiz (namens #README.lilocked) ist in jedem Ordner verfügbar, in dem die Lösegeldsoftware Dateien verschlüsselt. Die Benutzer werden damit zu einem Portal im Dark Web umgeleitet, wo sie aufgefordert werden, einen Schlüssel von der Lösegeldforderung einzugeben. Hier zeigt die Lilocked-Bande eine zweite Lösegeldforderung und bittet die Opfer um 0,03 Bitcoin (etwa 325 Dollar).


Lilocked verschlüsselt keine Systemdateien, sondern nur eine kleine Teilmenge von Dateierweiterungen wie HTML, SHTML, JS, CSS, PHP, INI und verschiedene Bilddateiformate. Das bedeutet, dass infizierte Server weiterhin normal laufen können. Laut dem französischen Sicherheitsforscher Benkow hat Lilocked bereits mehr als 6700 Server verschlüsselt, von denen viele indiziert und in den Google-Suchergebnissen zwischengespeichert wurden. Diese Schätzung dürfte aber zu niedrig sein, da viele infizierte Server, die die Malware gemeldet haben, nicht von Google oder anderen Suchmaschinen indiziert werden. Da der Mechanismus hinter der Ransomware noch nicht bekannt ist, gibt es keinen allgemeint gültigen Ratschlag, um dem Angriff zu entgehen. Grundsätzlich sollten aber immer starke Passwörter verwendet werden und Apps aktualisiert werden, sobald Sicherheits-Patches eintreffen. (swe)


Weitere Artikel zum Thema

Starke Zunahme von Ransomware-Angriffen

30. Juli 2019 - Die Polizei des Kantons Zürich warnt vor einer Zunahme der Anzahl von Angriffen mit Ransomware wie Lockergoga, Ryuk und Megacortex.

Offix-Systeme im Mai von Ransomware lahmgelegt

4. Juli 2019 - Im Mai 2019 wurde durch einen gezielten Angriff die Systeme der Unternehmen von Offix lahmgelegt. CEO Martin Kelterborn äusserte sich nun öffentlich, wie es dazu kam.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER