Abyss Locker: Linux-Ransomware nimmt virtuelle Maschinen ins Visier
In den letzten Monaten haben sich die Bedrohungen durch Ransomware stetig weiterentwickelt und neue Angriffstechniken sind aufgetaucht, um Unternehmen zu erpressen. Eine besorgniserregende Entwicklung ist die Linux-Variante der Ransomware Abyss Locker, die nun vermehrt Server ins Visier nimmt und für verschlüsselte Daten auf virtuellen Maschinen sorgt.
VMware ESXi-Systeme betroffen:
Die Verantwortlichen hinter der Ransomware haben vor einiger Zeit damit begonnen, gezielte Angriffe auf Unternehmen durchzuführen. Nun ist eine neue Version der Malware aufgetaucht, die es auf Linux-basierte VM-Systeme abgesehen hat. Speziell wurde der Verschlüsselungstrojaner entworfen, um VMware ESXi-Instanzen außer Gefecht zu setzen.
Der Angriffsmechanismus von Abyss Locker:
Sobald die virtuellen Maschinen auf dem Server heruntergefahren wurden, startet das Programm seine schädlichen Aktivitäten. Es verschlüsselt die virtuellen Festplatten, Metadaten und Systemzustände der VMs. An die überschriebenen Dateien wird die Endung ".crypt" angehängt. Die Angreifer geben in einem Readme-Dokument Anweisungen zur Wiederherstellung der Daten.
Drohende Datenveröffentlichung:
Bevor die Verschlüsselung beginnt, sendet die Ransomware alle Daten an einen Server der Angreifer. Diese nutzen die erbeuteten Informationen als Druckmittel und drohen damit, sämtliche Daten nach Ablauf einer bestimmten Frist öffentlich zugänglich zu machen. Bleeping Computer berichtet von einer Seite im TOR-Browser, auf der Daten von 14 betroffenen Firmen veröffentlicht wurden.
Die Lösegeldforderung:
Um die virtuellen Maschinen wiederherzustellen und die Datenveröffentlichung zu verhindern, verlangen die Hacker eine unbekannte Lösegeldsumme. Sie stellen den betroffenen Unternehmen einen Link zu einer Darknet-Seite bereit, über die Verhandlungen mit den Angreifern geführt werden können. Jedoch sollte klar sein, dass eine Zahlung keineswegs eine Garantie dafür bietet, dass die gestohlenen Daten tatsächlich gelöscht werden.
Keine Möglichkeit zur Wiederherstellung:
Da die Daten durch kryptografische Verschlüsselung geschützt sind und der verwendete Schlüssel unbekannt ist, gibt es momentan keine Möglichkeit, die betroffenen Systeme selbst wiederherzustellen. Die beste Vorgehensweise besteht darin, die gekaperten Server komplett neu aufzusetzen und aus den vorhandenen Backups die Daten wieder einzuspielen. Eine Lösegeldzahlung ist nicht empfehlenswert, da sie keine Gewissheit über die tatsächliche Wiederherstellung der Daten bietet.
Fazit:
Abyss Locker stellt eine ernste Bedrohung für Unternehmen dar, die Linux-basierte virtuelle Maschinen nutzen. Die Gefahr der Datenverschlüsselung und Veröffentlichung erfordert eine umfassende Sicherheitsstrategie und regelmäßige Backups, um sich gegen solche Ransomware-Angriffe zu wappnen. Die rechtzeitige Identifizierung und das rasche Handeln sind entscheidend, um die Auswirkungen dieser Bedrohung zu minimieren und das Geschäft zu schützen.