Tausende von Servern mit neuer Lilocked (Lilu) Ransomware infiziert

Tausende von Servern mit neuer Lilocked (Lilu) Ransomware infiziert

Tausende von Servern mit neuer Lilocked (Lilu) Ransomware infiziert

(Quelle: Bitdefender)
9. September 2019 -  Lilu, auch bekannt als Lilocked, ist eine relativ neue Ransomware, die sich speziell Linux-Server vornimmt. Die Ransomware infiziert seit Mitte Juli Systeme und hat bisher mindestens 6700 Geräte angegriffen.
Tausende von Webservern wurden bereits von einer neuartigen Ransomware infiziert und ihre Dateien von einem neuen Ransomware-Stamm namens Lilocked (oder Lilu) verschlüsselt. Wie "Zdnet" berichtet, würden bereits seit Mitte Juli Systeme infiziert, die Intensität soll sich aber in den letzten zwei Wochen verschärft haben. Nach aktuellen Erkenntnissen scheint es die Lilocked-Ransomware allerdings nur auf Linux-basierte Systeme abgesehen zu haben.

Erste Berichte datieren auf Mitte Juli, nachdem erste Opfer die Lösegeldforderung von Lilocked auf ID Ransomware hochgeladen hatten, einer Website zur Identifizierung des Namens der Lösegeldsoftware, die das System eines Opfers infiziert hat.

Wie die Lilocked-Ransomware in Server eindringt und deren Inhalte verschlüsselt, ist derzeit unbekannt. Ein Thread in einem russischsprachigen Forum stellt die Theorie auf, dass es die Angreifer auf Systeme mit veralteter Exim (E-Mail)-Software abgesehen haben könnten. Es wird auch erwähnt, dass es der Ransomware gelungen ist, mit unbekannten Mitteln Root-Zugriff auf Server zu erhalten.
Server, die von dieser Ransomware betroffen sind, sind leicht zu erkennen, da die meisten ihrer Dateien verschlüsselt sind und eine neue Dateierweiterung ".lilocked" tragen. Eine Kopie der Lösegeldnotiz (namens #README.lilocked) ist in jedem Ordner verfügbar, in dem die Lösegeldsoftware Dateien verschlüsselt. Die Benutzer werden damit zu einem Portal im Dark Web umgeleitet, wo sie aufgefordert werden, einen Schlüssel von der Lösegeldforderung einzugeben. Hier zeigt die Lilocked-Bande eine zweite Lösegeldforderung und bittet die Opfer um 0,03 Bitcoin (etwa 325 Dollar).

Lilocked verschlüsselt keine Systemdateien, sondern nur eine kleine Teilmenge von Dateierweiterungen wie HTML, SHTML, JS, CSS, PHP, INI und verschiedene Bilddateiformate. Das bedeutet, dass infizierte Server weiterhin normal laufen können. Laut dem französischen Sicherheitsforscher Benkow hat Lilocked bereits mehr als 6700 Server verschlüsselt, von denen viele indiziert und in den Google-Suchergebnissen zwischengespeichert wurden. Diese Schätzung dürfte aber zu niedrig sein, da viele infizierte Server, die die Malware gemeldet haben, nicht von Google oder anderen Suchmaschinen indiziert werden. Da der Mechanismus hinter der Ransomware noch nicht bekannt ist, gibt es keinen allgemeint gültigen Ratschlag, um dem Angriff zu entgehen. Grundsätzlich sollten aber immer starke Passwörter verwendet werden und Apps aktualisiert werden, sobald Sicherheits-Patches eintreffen. (swe)
Weitere Artikel zum Thema
 • Starke Zunahme von Ransomware-Angriffen
 • Offix-Systeme im Mai von Ransomware lahmgelegt

Vorherige News
 
Nächste News

Neuen Kommentar erfassen

Kommentare werden vor der Freischaltung durch die Redaktion geprüft.
Anti-Spam-Frage Wieviele Zwerge traf Schneewittchen im Wald?
Antwort
Name
E-Mail
NEWSLETTER ABONNIEREN
Abonnieren Sie unseren täglichen Newsletter mit den wichtigsten ICT-Meldungen
SWISS IT MAGAZINE - AUSGABE 2019/10
Schwerpunkt: Application Management Services
• Application Management 2019
• Auch bei KMU spricht alles für die Cloud
• Containerlösungen - die Symphonie für die ­Unternehmens-IT
• Mobile Apps: Trends und Vorgehensweisen
• Innovationstreiber Application Management
Zum Inhaltsverzeichnis
SPONSOREN & PARTNER