Linux-Ransomware: So schützen Sie Ihr Unternehmen
Der Schutz Ihres Unternehmens vor Ransomware ist eine Herausforderung, vor allem, wenn eine Vielzahl von Betriebssystemen im Einsatz ist, die jeweils ein eigenes Sicherheits- und Risikoniveau aufweisen. Mit Mitarbeitern, die vermutlich eine Kombination aus Windows-, MacOS-, Linux- und mobilen Betriebssystemen verwenden, kann es schwierig sein, eine einheitliche Sicherheit in Ihrem Unternehmen zu gewährleisten.
Dieser Artikel befasst sich mit Linux-Ransomware: Was das ist, die verschiedenen Arten von Ransomware, die auf Geräte mit Linux abzielen, und was Sie tun können, um sich vor dieser Bedrohung zu schützen.
Testen Sie den Avast Business Hub 30 Tage GRATIS
Genießen Sie Sicherheit auf Unternehmensniveau, egal wie groß Ihr Unternehmen ist. Laden Sie den Avast Business Hub herunter und testen Sie ihn 30 Tage lang risikofrei.
Was ist Linux-Ransomware?
Generell ist Linux-Ransomware eine Art Malware, die Linux-basierte Betriebssysteme (einschließlich Distributionen wie Ubuntu und Debian) angreifen kann. Diese Art des Angriffe haben das Ziel, Geräte und Netzwerke zu infiltrieren, wichtige Dokumente zu identifizieren und diese zu verschlüsseln. Oft wird ein Angriff erst bemerkt, wenn eine Nachricht verschickt wird, in der eine Zahlung für die Rückgabe der verschlüsselten Dateien gefordert wird. Für eine Einzelperson ist dies erschreckend, aber für ein Unternehmen kann es möglicherweise irreparablen Schaden für den Betrieb und das Vertrauen der Kunden verursachen.
Ist Linux sicher?
Linux hat zwar den Ruf, starke Sicherheitsmaßnahmen zu bieten, was es zu einer beliebten Option für Unternehmensserver macht, doch in Wahrheit ist kein Betriebssystem völlig sicher vor Malware-Angriffen. Malware ist so beschaffen, dass oft menschliches Versagen die Ursache für einen Datenleck ist – durch Phishing, die Verwendung schwacher Passwörter oder das Versäumnis, verfügbare Updates zu implementieren.
Einer der Vorteile für Linux-Benutzer ist, dass es nicht nur regelmäßig Sicherheitsupdates gibt, sondern dass diese im Allgemeinen auch als sehr wirksam gelten, sodass Ihr System über eine der besten verfügbaren Sicherheitssysteme verfügt.
Ein weiterer positiver Aspekt ist, dass Linux automatisch eingeschränkte Zugriffsrechte zuweist, d. h. wenn ein böswilliger Hacker Zugang zu einem Benutzerkonto erhält, ist es unwahrscheinlicher, dass er auf geschützte Daten zugreifen oder Administratorkontrolle erlangen kann.
Windows- und Mac-Betriebssysteme sind weiter verbreitet als Linux, aber bösartige Akteure wissen, dass Linux als System für Unternehmensserver immer beliebter wird. Wenn sich Hacker Zugang zu einem Linux-System verschaffen, ist es viel wahrscheinlicher, dass sie auf einen Server und nicht auf einen einzelnen Endpunkt zugreifen. Aus diesem Grund sollten Unternehmen nicht nachlässig werden – sie müssen Antiviren-Software verwenden, um das Risiko eines Angriffs zu verringern.
Ransomware auf Linux: Was passiert?
Linux-Ransomware ist ein zunehmendes Problem für Unternehmen, die Linux-Server einsetzen. Das Verständnis des Prozesses ist von entscheidender Bedeutung, um verdächtige Netzwerkaktivitäten und andere Warnsignale erkennen zu können. Die Vorgehensweise der Angreifer ist unterschiedlich, aber im Folgenden werden die typischen Phasen eines Linux-Ransomware-Angriffs dargestellt.
1. Schwachstellen ausnutzen
Um auf ein Netzwerk zuzugreifen und sich zu verbreiten, ist Linux-Ransomware im Allgemeinen auf die Identifizierung von Sicherheitslücken angewiesen. Das könnte ganz einfach ein ungepatchtes System oder eine Lücke in einem Dienst sein. Die Schwachstelle könnte im täglichen Leben keine Auswirkung haben und oft einfach übersehen werden.
Einige Formen von Linux-Ransomware verwenden Scanner, um SQL-Injection-Schwachstellen zu identifizieren, die Administratorzugriff ermöglichen könnten. Die Anwendung von Updates und Fehlerbehebungen ist von entscheidender Bedeutung, um sicherzustellen, dass bekannte Schwachstellen behoben werden.
2. Einrichten
Sobald die Ransomware installiert ist, fordert sie den Download bösartiger ausführbarer Dateien (in der Regel ein Wurm, Trojaner oder Virus) an, die dann in den lokalen Verzeichnissen des Netzwerks platziert werden können. An diesem Punkt beginnt sie mit Ihrer Arbeit. Dies könnte bedeuten, dass sie sich selbst bestimmte Zugriffsrechte gewährt und die Möglichkeit hat, beim Booten oder im Wiederherstellungsmodus zu arbeiten.
In einigen Fällen nutzt die Ransomware die erweiterten Zugriffsrechte, um auf Funktionen zuzugreifen, die normalerweise nur von hochrangigen Administratoren genutzt werden. Diese Umgehungsmöglichkeit bedeutet, dass die Malware alle Daten einsehen und bearbeiten kann.
3. Scan
Die Ransomware wird das System auf geteilte Ordner und Dateien mit bestimmten Erweiterungen scannen. Diese Ziele sind im Voraus festgelegt und umfassen oft Dokumentdateien (.PDF, .DOC) und Software im Zusammenhang mit der Cloud oder dem Netzwerkspeicher.
Möglicherweise ist zu diesem Zeitpunkt die Malware noch nicht von Ihrem Unternehmen bemerkt worden, aber sie könnte sich bereits auf Ihrem Server eingenistet haben und auf Dateien ins Visier nehmen, für die sie Lösegeld fordern kann.
4. Verschlüsselung
In dieser Phase des Angriffs auf ein Linux-System erstellt die Ransomware eine verschlüsselte Version der Zieldateien und entfernt das Original. Abhängig von der Art der verwendeten Verschlüsselung, kann dieser Vorgang irreversibel sein.
Viele Verschlüsselungsmethoden sind als asymmetrisch bekannt, da sie je ein Schlüsselpaar zur Ver- und Entschlüsselung von Daten verwenden. In der Regel ist ein Schlüssel öffentlich und sichtbar, während der andere privat ist und nur vom Ersteller gehalten wird. Die Ransomware kontaktiert den Server des Cyberkriminellen, um einen öffentlichen Schlüssel zu erhalten und den Verschlüsselungsprozess zu starten.
Wenn die Geräte zu diesem Zeitpunkt nicht mit dem Netzwerk verbunden sind, wartet der Angreifer, bis die Benutzer wieder online sind, bevor er auch ihre Dateien verschlüsselt.
Zu den gängigen Arten der Verschlüsselung gehören:
- AES – der Advanced Encryption Standard (Rijndael) ist ein vom U.S. National Institute of Standards and Technology entwickelter Standard. Die Schlüssel können 128, 192 oder 256 Bit lang sein (je höher die Zahl, desto komplexer die Verschlüsselung).
- RSA – ist ein öffentliches Schlüsselsystem, das 1977 entwickelt wurde. Der Name ist ein Akronym der drei Entwickler: Rivest-Shamir-Adleman. Diese sind typischerweise 1024 oder 2048 Bits lang, was sie schwer zu knacken macht.
5. Forderungen
In der letzten Phase werden die Forderungen der Erpresser durch eine Lösegeldforderung gestellt. Dies kann in Form einer Startmeldung oder eines auf dem Desktop oder im Speicherort der verschlüsselten Dateien abgelegten Dokuments geschehen. Die Lösegeldforderung enthält normalerweise auch Zahlungsanweisungen. Manche enthalten auch eine Frist oder einen Countdown, bei dem das Lösegeld im Laufe der Zeit erhöht wird oder eine dauerhafte Löschung der Dateien droht, wenn die Zahlung nicht rechtzeitig erfolgt.
An diesem Punkt hat die Ransomware ihre Aufgabe erfüllt.
Arten von Linux-Ransomware
Tycoon
Der erste Fall von Tycoon wurde 2019 gesichtet. Er wird in der Regel für Angriffe auf KMUs und Hochschulen eingesetzt. Sowohl Linux- und Windows-Geräte können von dieser Malware infiziert werden.
Der Systemzugang erfolgt über ein ZIP-Archiv, das eine bösartige Java-Image-Datei enthält. Ein ungesichertes Remote-Desktop-Protokoll wird dann verwendet, um das Java-Objekt auszuführen, das das System verschlüsselt und eine Lösegeldforderung hinterlässt.
Angriffe bieten typischerweise ein 60-Stunden-Fenster für eine Lösegeldzahlung über Bitcoin. In einigen Fällen erhöht sich der Betrag täglich.
QNAPCrypt
Dieser Angriff konzentriert sich auf Linux-basierte NAS-Geräte (Network-Attached Storage). Die Verbreitung erfolgt in der Regel über gefälschte Updates und infizierte Dateien, einschließlich ZIP-Archive.
Der Einstiegspunkt von QNAPCrypt ist die fehlerhafte Authentifizierung eines SOCKS5-Proxys (eine Alternative zu einem VPN, das Datenpakete während der Übertragung schützt) und hat eine niedrige Erkennungsrate. Ist ein System kompromittiert, fordert die Malware eine Bitcoin-Wallet und einen öffentlichen RSA-Schlüssel vom Server des Hackers an, bevor sie die Daten des Opfers verschlüsselt.
Wenn die Verschlüsselung abgeschlossen ist, wird die Lösegeldforderung in einer .txt-Datei abgelegt. Jedes Opfer erhält eine eigene Bitcoin-Wallet, in der es das Lösegeld bezahlen kann, damit die Angreifer nicht entdeckt werden.
RansomEXX
RansomEXX (auch bekannt als Defrat777) hat sich in den letzten Jahren zu einer der häufigsten Formen von Ransomware auf Linux-Geräten entwickelt. Er begann als Windows-Malware, wurde aber zunehmend auch für Angriffe auf Linux-Server eingesetzt – vor allem gegen die brasilianische Regierung, das Verkehrsministerium in Texas und das Universitätsklinikum in Brünn in der Tschechischen Republik.
Diese Art von Ransomware ist als „Großwildjäger" bekannt – sie wird häufig eingesetzt, um große Organisationen und Regierungen anzugreifen und hohe Lösegeldzahlungen zu erlangen. Anstatt mehrere Endpunkte anzugreifen, zielt die Malware direkt auf den Server und schränkt den Zugriff auf Dateien an der Quelle ein – was Linux-Server zu einem Hauptziel für diese Art von Angriffen macht.
RansomEXX wird in der Regel über eine E-Mail verbreitet, die ein bösartiges Word-Dokument enthält. Einmal geöffnet, wird ein Trojaner auf das System des Benutzers heruntergeladen, der Dateien verschlüsselt und einen 256-Bit-Verschlüsselungsschlüssel generiert. Der Schlüssel wird dann jede Sekunde neu verschlüsselt.
Erebus
Erebus wurde erstmals im Jahr 2016 als Windows-basierte Ransomware entdeckt. Es wurde erstmals 2017 bei einem viel beachteten Angriff auf das südkoreanische Webhosting-Unternehmen NAYANA gegen Linux-Systeme eingesetzt. 153 Linux-Server und mehr als 3.400 Unternehmens-Websites waren betroffen. Das Lösegeld in Höhe von 1 Million US-Dollar in Bitcoin stellte damals einen Rekord für das höchste gezahlte Lösegeld dar.
Erebus ist darauf angewiesen, dass der Benutzer auf bösartige Links klickt oder infizierte E-Mail-Anhänge öffnet. Sie kann auch durch bösartige Software, wie z. B. gefälschte Installationsprogramme, Zugang zu einem System erhalten.
Die Ransomware sucht nach einer Vielzahl von Dateitypen, die sie verschlüsseln kann, darunter Datenbanken, Archive und Dokumente. Das verwendete Verschlüsselungsverfahren ist schwer zu knacken, da es eine Mischung aus drei verschiedenen Kryptosystemen (RSA-2048, AES und RC4) verwendet. Die Ransomware löscht auch die Schattenkopien des Betriebssystems, was die Wiederherstellung noch schwieriger macht.
KillDisk
KillDisk ist eine weitere Ransomware, die zunächst unter Windows auftrat, bevor sie auf Linux übertragen wurde. Die Linux-Version von KillDisk verschlüsselt jede Datei mit einem anderen Satz von 64-Bit-Schlüsseln. Er verhindert dann das Starten des Systems, indem er das Startprogramm („Bootloader") überschreibt und dem Benutzer stattdessen eine bildschirmfüllende Lösegeldforderung in Bitcoin präsentiert.
Im nächsten Schritt unterscheidet sich die Linux-Version von KillDisk von der Windows-Version: Die für die Entschlüsselung der Daten erforderlichen Schlüssel werden bei einem Linux-Angriff weder lokal gespeichert noch an einen Server gesendet, was bedeutet, dass das Verschlüsselungstool höchstwahrscheinlich eher zur Zerstörung als zur Erpressung geschrieben wurde. Wenn kein Verschlüsselungsschlüssel existiert, ist es unwahrscheinlich, dass die Dateien jemals wiederhergestellt werden können, unabhängig davon, ob das Lösegeld bezahlt wird.
Schutz vor Linux-Ransomware
Linux-Ransomware ist eine schnell wachsende Bedrohung, besonders für Unternehmensnutzer. Zu den Maßnahmen, die Sie ergreifen sollten, um Ihr Unternehmen vor Ransomware-Angriffen zu schützen, gehören:
- Installieren Sie Updates regelmäßig. Alle Server und Endpunkte sollten aktuell gehalten werden. Sicherheitspatches und Softwarekorrekturen sollten immer installiert werden, sobald sie verfügbar sind.
- Schulen Sie Ihre Mitarbeiter auf Cybersicherheit. Um menschliches Versagen einzugrenzen, ist ein Grundverständnis an Cybersicherheit über Schulungen vital. Das Cybersecurity-Quiz von Avast hilft Ihnen, den Kenntnisstand Ihrer Mitarbeiter zu ermitteln und Schwachstellen zu identifizieren, die durch Schulungen verbessert werden können.
- Beschränken Sie Zugriffsberechtigungen. Die Berechtigungen für Benutzerkonten sollten richtliniengemäß auf ein Minimum beschränkt werden. Jeder hat nur Zugriff auf die Dateien und Anwendungen, die er für seine Arbeit benötigt.
- Erstellen Sie Backups Ihrer Daten. Die Erstellung sicherer Backups von Daten ist entscheidend für die Minimierung des potenziellen Schadens eines Angriffs.
- Etablieren Sie eine Sicherheitsstrategie. Viele Angriffe beruhen auf menschlichem Versagen, um Zugang zu einem Netzwerk zu erhalten. Dieses Risiko kann durch die Umsetzung einer Sicherheitsstrategie, die Mitarbeiterschulungen, die Implementierung von Sicherheitssoftware und die Anwendung bewährter Verfahren für sichere Passwörter, sichere E-Mails und Endgerätesicherheit umfasst, erheblich verringert werden.
- Führen Sie regelmäßig Inspektionen und Evaluation von Schwachstellen durch. Die Systeme sollten in regelmäßigen Abständen überwacht und sorgfältig bewertet werden. Die Ereignisprotokolle sollten im Rahmen dieses Prozesses überprüft werden, um verdächtige Aktivitäten zu erkennen.
- Haben Sie einen Reaktionsplan parat. So wie ein Büro über einen Brandschutzplan verfügt, sollte auch eine Ransomware-Strategie vorhanden sein, um sicherzustellen, dass die Mitarbeiter wissen, was im Falle eines Angriffs zu tun ist. Das Ziel ist es, den Schaden zu minimieren und eine reibungslose Wiederaufnahme des Betriebs zu gewährleisten.
Finden Sie mehr in unserem Artikel „So schützen Sie Ihren Linux-Server” heraus.
Erweiterter Antivirus für Linux-Server
Linux bietet zwar eine der besten Betriebssystemsicherheitssysteme auf dem Markt, reicht aber allein nicht aus, um Ihre Unternehmensdaten und Server sicher zu halten. Schützen Sie Ihr Unternehmen mit speziellem Linux-Malware- und Endpunktschutz.