Ransomware CTB-Locker infiziert 70 Webserver

CTB-Locker kommt zurück und infiziert 70 Webserver aus 10 verschiedenen Ländern weltweit. Wer ist gefährdet und welche Sicherheitsmaßnahmen sollten getroffen werden?

Ähnlich wie erfolgreiche Geschäftsleute sind Cyberkriminelle fortwährend auf der Suche nach neuen Märkten. Sie führen Experimente durch, wechseln Zielgruppen und geben ihren Opfern Rückmeldung — um an noch mehr „schnelles Geld“ zu kommen. Und das ist genau das, was wir bei der letzten Version von CTB-Locker beobachtet haben.

Diese Ransomware-Familie zeichnet sich von jeher durch besonders raffinierte Vorgehensweisen aus: sie nutzte beispielsweise das anonyme Netzwerk Tor Project, um sich vor Sicherheitsexperten zu schützen und akzeptierte nur Bitcoinzahlungen, die sehr schwer nachzuverfolgen sind.

Eine gute Neuigkeit für Heimnutzer und eine schlechte für Unternehmen: der neueste CTB-Locker zielt ausschließlich auf Webserver ab. Während traditionelle Ransomware Nutzerdaten verschlüsselt, greift diese Ransomware Daten im Webroot des Servers an. Ohne diese Daten kann eine Webseite nicht existieren.

Kriminelle erpressen 135 EUR Lösegeld (oder genau genommen 0.4 Bitcoin). Wenn ein Opfer nicht rechtzeitig zahlt, verdoppelt sich die Geldforderung.

Die Straftäter ersetzen außerdem die Hauptseite der gehackten Webseite durch eine Nachricht, in der der sie genau erklären, was vorgefallen ist und bis wann/wie das Geld überwiesen werden muss. Sie fügen ein Videotutorial hinzu für diejenigen, die nicht wissen wie man Bitcoins kauft, und bieten an, zwei zufällige Dateien zu entschlüsseln — als Zeichen ihres „Entgegenkommens“. Über einen speziellen Code, der nur für die Opfer zugänglich ist, können diese sogar mit den Angreifern chatten.

Unseres Wissens nach haben neue CTB-Locker bereits jetzt Daten auf mehr als 70 Servern verschlüsselt — in 10 verschiedenen Ländern, von denen die USA am stärksten betroffen sind, was nicht verwunderlich ist.

Die Ransomware CTB-Locker ist eine regelrechte Internetplage, da es nach wie vor keine Verschlüsselungssoftware gibt, die den Opfern helfen könnte. Die einzige Möglichkeit, infizierte Dateien schnell zurückzubekommen, besteht darin, das Lösegeld zu zahlen.

Wir wissen immer noch nicht, wie genau der CTB-Locker auf den Webservern eingesetzt wird, allerdings haben wir schon eine Gemeinsamkeit erkennen können: die Mehrheit der Betroffenen nutzt die Plattform WordPress. Aus diesem Grund empfehlen wir dringend, diese Sicherheitstipps zu befolgen:

  • aktualisieren Sie WordPress regelmäßig, da veraltete Versionen meist eine Vielzahl an Sicherheitsschwachstellen aufweisen;
  • seien Sie besonders vorsichtig, wenn es um Plug-ins von Drittanbietern geht: diese Ergänzungen können sehr hilfreich sein, aber nur, wenn sie von verlässlichen Programmierern entwickelt wurden;
  • machen Sie Sicherheitskopien von allen wichtigen Daten;
  • nehmen Sie sich in Acht vor Phishingmails;
  • fallen Sie nicht auf Werbeanzeigen herein, die „zu schön um wahr zu sein“ sind — Onlineanzeigen, die Sie dazu animieren Software von Drittanbietern zu installieren (zum Beispiel für Webanalytics).

Auch wenn dieser spezielle Ransomware-Typ nur auf Webseiten abzielt, gibt es andere Ransomware, die es auf Ihre persönlichen Daten abgesehen hat. Heimnutzern empfehlen wir, eine verlässliche Sicherheitslösung zu installieren, regelmäßig Back-ups vorzunehmen und sich vor Phishing in Acht zu nehmen, da dies heutzutage die üblichste Art ist, Schadprogramme jeder Art, einschließlich Ransomware, zu verbreiten.

Tipps