Ransomware

Angriffe auf Virtualisierungssysteme und Linux-Server

Linux- und ESXi-basierte Systeme werden zunehmend Opfer von Ransomware-Angriffen. Wie können Sie Ihre Server schützen?

Hugh Aver
25 Apr 2023

Ransomware. Üble Sache. Aber wie kann man sich vor ihr schützen? Und vor allem: Was sollte in erster Linie geschützt werden? Oft sind Windows-Workstations, Active Directory-Server und andere Microsoft-Produkte die Hauptanwärter. Und diese Vorgehensweise ist in der Regel auch gerechtfertigt. Allerdings sollten wir bedenken, dass sich die Taktiken von Cyberkriminellen ständig weiterentwickeln und inzwischen auch für Linux-Server und Virtualisierungssysteme schädliche Tools entwickelt werden. So ist die Gesamtzahl der Angriffe auf Linux-Systeme im Jahr 2022 um etwa 75 % gestiegen.

Die Motivation hinter solchen Angriffen ist offensichtlich: Die Popularität von Open Source und Virtualisierung nimmt zu, was bedeutet, dass immer mehr Server mit Linux oder VMWare ESXi laufen. Diese speichern oft viele wichtige Informationen, die, wenn sie verschlüsselt werden, den Betrieb eines Unternehmens sofort lahmlegen können. Da die Sicherheit von Windows-Systemen traditionell im Mittelpunkt des Interesses steht, erweisen sich Server, die nicht unter Windows laufen, als leichte Beute.

Angriffe 2022–2023

Im Februar 2023 wurden viele Besitzer von VMware ESXi-Servern von der Ransomware ESXiArgs Durch Ausnutzung der Sicherheitslücke CVE-2021-21974 wurden virtuelle Maschinen von Angreifern lahmgelegt und Dateien mit den Endungen .vmxf, .vmx, .vmdk, .vmsd und .nvram verschlüsselt.
Die berüchtigte Clop-Gang – bekannt für einen groß angelegten Angriff auf verwundbare Dateiübertragungsdienste von Fortra GoAnywhere über CVE-2023-0669 – wurde im Dezember 2022 mit einer (wenn auch eingeschränkten) Linux-Version ihrer Ransomware gesichtet. Diese unterscheidet sich erheblich von ihrem Windows-Pendant (einige Optimierungen und Verteidigungstricks fehlen), ist jedoch an Linux-Berechtigungen und -Benutzertypen angepasst und zielt speziell auf Oracle-Datenbank-Ordner
Eine neue Version der BlackBasta-Ransomware wurde speziell für Angriffe auf ESXi-Hypervisoren entwickelt. Das Verschlüsselungskonzept verwendet den ChaCha20-Algorithmus im Multi-Thread-Modus unter Einsatz mehrerer Prozessoren. Da ESXi-Farmen normalerweise aus einer Vielzahl von Prozessoren bestehen, minimiert dieser Algorithmus die für die Verschlüsselung der gesamten Umgebung benötigte Zeit.
Kurz vor ihrer Auflösung rüstete sich die Conti-Hackergruppe ebenfalls mit Ransomware aus, die auf ESXi abzielte. Leider wurde ein Großteil des Conti-Codes veröffentlicht, sodass ihre Entwicklungen nun einem breiten Spektrum von Cyberkriminellen zur Verfügung stehen.
Die in Rust geschriebene Ransomware BlackCat ist auch in der Lage, virtuelle ESXi-Maschinen zu deaktivieren und löschen. In anderen Punkten unterscheidet sich der Schadcode kaum von seiner Windows-Version.
Die plattformübergreifende Ransomware Luna, die wir im Jahr 2022 entdeckten, konnte auf Windows-, Linux- und ESXi-Systemen ausgeführt werden. Selbstverständlich konnte auch die Gruppe LockBit diesen Trend nicht ignorieren: Sie begann ebenfalls, ESXi-Versionen ihrer Malware für Partner anzubieten.
Zu den älteren (aber leider effektiven) Angriffen gehörten auch die RansomEXX- und QNAPCrypt-Kampagnen, die vor allem Linux-Server angriffen.

Taktiken für Server-Angriffe

Das Einschleusen in Linux-Server basiert in der Regel auf dem Exploit von Schwachstellen. Angreifer können Schwachstellen im Betriebssystem, in Webservern und anderen Basisanwendungen sowie in Geschäftsanwendungen, Datenbanken und Virtualisierungssystemen als Waffen einsetzen. Wie im vergangenen Jahr von Log4Shell demonstriert, erfordern Sicherheitslücken in Open-Source-Komponenten besondere Aufmerksamkeit. Nach einem ersten Eindringen nutzen viele Ransomware-Stämme noch weitere Tricks oder Schwachstellen, um die Berechtigungen zu erweitern und das System zu verschlüsseln.

Vorrangige Schutzmaßnahmen für Linux-Server

Um die Wahrscheinlichkeit von Angriffen auf Linux-Server zu minimieren, empfehlen wir:

Sicherheitslücken umgehend zu schließen
Die Anzahl der offenen Ports und Verbindungen zum Internet zu minimieren
Den Einsatz von spezialisierten Sicherheitstools auf Servern, um das Betriebssystem selbst sowie virtuelle Maschinen und Container, die auf dem Server gehostet werden, zu schützen. Lesen Sie mehr über den Schutz von Linux in unserem dedizierten Beitrag.

Der Digitale Euro kommt?! Mehrstufiger Scam-Versuch gaukelt Förderprogramm des Bundesfinanzministeriums vor

Experten von Kaspersky haben Phishing-Mails gefunden, mit denen es Betrüger auf Daten und Geld abgesehen haben.

KOSTENLOSE TOOLS

TARGETED SECURITY-LÖSUNGEN

ENTERPRISE SOLUTIONS

Angriffe auf Virtualisierungssysteme und Linux-Server

Angriffe 2022–2023

Taktiken für Server-Angriffe

Vorrangige Schutzmaßnahmen für Linux-Server

Der MOVEit-Hack und seine Nachwirkungen

So waschen Kriminelle korrupte Kryptowährung

Der Digitale Euro kommt?! Mehrstufiger Scam-Versuch gaukelt Förderprogramm des Bundesfinanzministeriums vor

Tipps

Werbung im Dienste von… Geheimdiensten

Gleich kommt das (verifizierte) Vögelchen – Fake oder Wirklichkeit?

Zu Kaspersky wechseln: Schritt-für-Schritt-Anleitung für die Migration

Boss oder Betrüger? Betrug, getarnt als Auftrag deines Chefs

Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen

LÖSUNGEN FÜR HEIMANWENDER

KLEINE UNTERNEHMEN

MITTLERE UNTERNEHMEN

GROSSE UNTERNEHMEN

Securelist

Eugene Personal Blog

Enzyklopädie