Das kann gefährlich werden: Emsisoft stellt eine aktuelle Angriffswelle auf Windows-Server fest - viele betroffene Firmen und Personen aus aller Welt haben sich bereits mit der Bitte um Hilfe und Unterstützung bei Emsisoft gemeldet.

Wer ist betroffen? Angegriffen werden gezielt Windows-Server, auf denen der Terminal Service bzw. Remote Desktop Dienst aktiv und von außen erreichbar ist. Die bevorzugte Angriffsmethode stellt dabei ein wörterbuch-basierter Brute Force Angriff auf diverse häufig anzutreffende Benutzernamen dar. Insbesondere Server, die von kleineren Firmen oder Einzelunternehmen betrieben werden, verzichten oftmals auf die Durchsetzung von Passwort Richtlinien oder IP basierte Restriktionen auf sensible Dienste.

Diese unnötigen Unterlassungssünden können nun teuer werden. Haben die Hacker Zugriff auf das System erlangt, installieren sie die Ransomware ACCDFISA, welche bereits in der 4. Generation vorliegt. Dieser Schritt kann von Antivirenprogrammen aufgrund des regulären Remote Zugriffes grundsätzlich nicht unterbunden werden. Schutzprogramme werden einfach durch den Angreifer manuell deaktiviert oder die Malware auf die Ausnahmeliste gesetzt. Gelingt die Infektion, installiert ACCDFISA drei schädliche Komponenten im System. Das größte Schadenspotential geht dabei von der Crypto Malware Komponente aus, welche als Dienst installiert wird.

Die Crypto Malware versucht gezielt Backups auf dem infizierten System zu löschen und verwendet den beliebten Packer WinRAR, um wichtige Dateien, die zu bestimmten Branchensoftwarelösungen gehören oder bestimmte Endungen haben, in verschlüsselte RAR-Archive zu verschieben. Während die ersten Generationen der Crypto Malware noch auf statische oder leicht rekonstruierbare Passwörter setzten, nutzen die neuesten Generationen zufallsgenerierte Passwörter, die nach der Installation vom System gelöscht werden. Mit solchen Zufallspasswörtern verschlüsselte RAR-Archive können aus eigener Kraft nicht wieder entschlüsselt werden. Das Geschäftsmodell der Hacker: Sie erpressen die Anwender und geben die Kennwörter erst gegen die Zahlung von Lösegeld heraus. Viele der betroffenen Anwender zahlen, da sie die „entführten“ Dateien sehr dringend benötigen und nicht auf sie verzichten können.

Der Erpresserbrief, der in Form eines sogenannten "Screenlockers" hinterlassen wird, der den Zugriff auf das System und alle installierten Programme verhindert, setzt die Opfer gezielt unter Zeitdruck: Entweder man bezahlt US $500 innerhalb der ersten 24 Stunden oder das Lösegeld erhöht sich auf $1.000, welches man innerhalb 48 Stunden bezahlen muss. Da es sich bei der verwendeten Verschlüsselung um AES handelt, ist die Aussicht auf ein eigenmächtiges Knacken des Passwortes gering. Die Angreifer beziffern die theoretische Zeit, die es benötigen würde, um das Passwort via Brute-Force Methode zu ermitteln, mit rund 66.282.862.563.751.221.625.826.507.369.649.000.000.000.000.000.000.000.000 Jahren, vorausgesetzt, man hätte einen Cluster von einer Million CPUs zur Verfügung.

Christian Mairoll, Geschäftsführer bei Emsisoft, einem Unternehmen, das Sicherheits-Software für Windows entwickelt: "Eine vorhandene Schutzsoftware gegen Viren und Malware nützt in diesem Fall nichts. Die Hacker loggen sich per Fernwartung auf die Server ein. Das ist so, als würden sie direkt vor dem ferngesteuerten Rechner sitzen. Jetzt können sie das Anti-Viren-Schutzprogramm ausschalten und installieren erst dann ihre Malware. Wir warnen deswegen alle Administratoren: Es ist wichtig, nur sichere Passwörter mit ausreichender Komplexität für den Fernwartungszugriff zu verwenden.“

Die Ransomware ACCDFISA wurde von Emsisoft in Kooperation mit den Malware-Experten von BleepingComputer (http://www.bleepingcomputer.com) erstmalig Ende Februar analysiert. Betroffenen wird dort individuelle Hilfe angeboten.

Quelle: Emsi Software GmbH (Typemania)