Emsisoft warnt vor neuer Angriffswelle auf Windows Server

CloudIT-ManagementIT-ProjekteServerSicherheit

Betroffen sind Windows Server, auf denen der Terminal Service beziehungsweise Remote Desktop Dienst läuft. Gelingt der Angriff, wird die Ransomware ACCDFISA aufgespielt. Erfolgreich sind die Angreifer besonders in kleinen Firmen, die sich mit Benutzernamen und Passwörtern wenig Mühe geben.

Sicherheitsanbeiter Emsisoft hat eine neue Angriffswelle auf Windows-Server festgestellt. Sie zielt auf Windows-Server, auf denen der Terminal Service beziehungsweise Remote Desktop Dienst aktiv und von außen erreichbar ist. Die bevorzugte Angriffsmethode der Hacker sei ein wörterbuch-basierender Brute-Force-Angriff auf häufig anzutreffende Benutzernamen. Erfolgreich sei das, weil insbesondere Server, die von kleinen Firmen betrieben werden, oft darauf verzichten die Passwortrichtlinien durchzusetzen oder IP-basierte Restriktionen auf sensible Dienste einzuführen.

Haben die Hacker Zugriff auf das System, installieren sie die Ransomware ACCDFISA, welche bereits in der vierten Generation vorliegt. Dieser Schritt kann laut Emsisoft von Antivirenprogrammen aufgrund des regulären Remote-Zugriffes grundsätzlich nicht unterbunden werden. Die Angreifer deaktivieren Schutzprogramme entweder manuell oder setzen die Malware auf die Ausnahmeliste. Gelingt die Infektion, installiert ACCDFISA drei schädliche Komponenten im System. Die Ransomware ACCDFISA wurde von Emsisoft in Kooperation mit den Malware-Experten von BleepingComputer erstmals Ende Februar analysiert. Betroffenen wird dort individuelle Hilfe angeboten.

Das größte Schadenspotenzial geht bei dem Angriff von der Crypto-Malware aus, die als Dienst installiert wird. Sie versucht gezielt Backups auf dem infizierten System zu löschen und verwendet den beliebten Packer WinRAR, um wichtige Dateien, die zu bestimmten Branchensoftwarelösungen gehören oder bestimmte Endungen haben, in verschlüsselte Archive zu verschieben. Während die vorangegangen Generationen der Crypto-Malware noch auf statische oder leicht rekonstruierbare Passwörter setzten, nutzt die neueste Generation laut Emsisoft zufallsgenerierte Passworte, die nach der Installation vom System gelöscht werden.

Mit solchen Zufallspassworten verschlüsselte RAR-Archive können aus eigener Kraft nicht wieder entschlüsselt werden. Die Hacker erpressen die Anwender und geben die Kennwörter erst gegen die Zahlung von Lösegeld heraus. Viele der betroffenen Anwender hätten bereits bezahlt, da sie die Dateien sehr dringend benötigen und nicht auf sie verzichten können. Der Erpresserbrief, der in Form eines sogenannten “Screenlockers” hinterlassen wird, der den Zugriff auf das System und alle installierten Programme verhindert, setzt die Opfer gezielt unter Zeitdruck: Entweder sie bezahlen 500 Dollar innerhalb der ersten 24 Stunden oder das Lösegeld erhöhe sich auf 1000 Dollar, die binnen 48 Stunden zu bezahlen sein.

“Eine vorhandene Schutzsoftware gegen Viren und Malware nützt in diesem Fall nichts. Die Hacker loggen sich per Fernwartung auf die Server ein. Das ist so, als würden sie direkt vor dem ferngesteuerten Rechner sitzen. Jetzt können sie das Anti-Viren-Schutzprogramm ausschalten und installieren erst dann ihre Malware. Wir warnen deswegen alle Administratoren: Es ist wichtig, nur sichere Passwörter mit ausreichender Komplexität für den Fernwartungszugriff zu verwenden”, so Emsisoft-Geschäftsführer Christian Mairoll.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen