Ransomware: Palo Alto entdeckt Verschlüsselung-Software für Mac


    Tags: , ,

    Derzeit rollt über Deutschland eine Welle von Ransomware hinweg. Bislang waren vor allem Windows-Nutzer von Krypto-Trojanern wie Cryptowall, Locky und Teslacrypt betroffen. Jetzt das IT-Sicherheitsunternehmen Palo Alto Net­works einen Schädling entdeckt, der auch Mac-OS-Systeme angreift.

    KeRanger - Bösartiger Prozess "kernel_service" auf einem MacVerschlüsselungs-Trojaner werden auf konventionelle Art auf Endgeräte übertragen, etwa als Attachment von Spam-E-Mails oder als Bestandteil von Software-Paketen. Sobald ein User - unwissentlich – ein solches Programm gestartet hat, verschlüsselt es die Festplatte beziehungsweise SSD des Systems. Dabei greifen die Cyber-Kriminellen zu Verschlüsselungs­verfahren wie AES mit 256-Bit-Keys, die so gut nicht zu knacken sind.

    Auch Daten im Netzwerk betroffen

    Fatal ist, dass ein solcher Schädling auch Netzwerklaufwerke und Verzeichnisse auf NAS-Systeme befallen kann, auf die ein Client-System Zugriff hat. Das heißt, dass in vielen Fällen auch eine Wiederherstellung eines Systems aus einem Backup-File auf einem externen Laufwerk unmöglich ist, weil auch diese Laufwerke verschlüsselt wurden.

    Bekanntlich bieten die Cyber-Kriminellen betroffenen Usern an, gegen Zahlung eines Lösegelds einen Code zur Entschlüsselung zu senden. Oft zahlen Opfer, erhalten jedoch keinen Entschlüsselungs-Key. Noch schlimmer: Ein Teil der Ransomware ist so ausgelegt, dass sie nach einer gewissen Zeitspanne die Daten erneut verschlüsselt. Dann beginnt das Spiel von vorne: Zahlen, entschlüsseln, zahlen et cetera, et cetera.

    KeRanger zielt auf Macs

    Die von Palo Alto entdeckte Ransomware für Macs war in zwei Installations­paketen des Bittorrent-Clients Transmission enthalten. Die Schadsoftware, die von Palo Alto auf den Namen KeRanger getauft wurde, war mit einem gültigen Entwicklerzertifik für Mac Appsat eines türkischen Unternehmens signiert und konnte so die Gatekeeper-Funktion von Apple umgehen.

    Die Schadsoftware verhielt sich drei Tage lang still, bevor sie aktiv wurde. Dann kontaktierte sie über das Tor-Netzwerk einen Command-and-Control-Server, lud technische Details des befallenen Macs hoch und startete die Verschlüsselung der Festplatte beziehungsweise SSD. Tor anonymisiert Verbindungsdaten und wird daher gerne von Hackern und Cyber-Kriminellen genutzt.

    Entschlüsselung kostet 400 Dollar

    Laut diesem Beitrag im Palo-Alto-Weblog verlangen die Erpresser für den Entschlüsselungscode 1 Bitcoin (circa 400 Dollar oder umgerechnet 370 Euro). Nach Einschätzung des Sicherheitsunternehmens ist KeRanger noch "Work in Progress". So gibt es Anzeichen dafür, dass die Entwickler an einer Version arbeiten, die auch die Time-Machine-Backup-Dateien von Mac OS befällt. Damit hätten Opfer keine Möglichkeit, Datensicherungen einzuspielen.

    In demselben Blog-Beitrag erläutert Palo Alto, wie Mac-User nachprüfen können, ob ihr Rechner befallen ist und wie sich die Files von KeRanger entfernen lassen. Mittlerweile hat Apple das Zertifikat des Unternehmens aus der Türkei widerrufen und ein Update der Sicherheitsmechanismen von Mac OS durchgeführt.

    Wer sich für Hintergrundinformationen zu Ransomware interessiert, findet etliche Informationen dazu in Deutsch auf dieser Web-Seite von Trend Micro.

    Keine Kommentare