Angriffe auf Virtualisierungssysteme und Linux-Server

Linux- und ESXi-basierte Systeme werden zunehmend Opfer von Ransomware-Angriffen. Wie können Sie Ihre Server schützen?

Ransomware. Üble Sache. Aber wie kann man sich vor ihr schützen? Und vor allem: Was sollte in erster Linie geschützt werden? Oft sind Windows-Workstations, Active Directory-Server und andere Microsoft-Produkte die Hauptanwärter. Und diese Vorgehensweise ist in der Regel auch gerechtfertigt. Allerdings sollten wir bedenken, dass sich die Taktiken von Cyberkriminellen ständig weiterentwickeln und inzwischen auch für Linux-Server und Virtualisierungssysteme schädliche Tools entwickelt werden. So ist die Gesamtzahl der Angriffe auf Linux-Systeme im Jahr 2022 um etwa 75 % gestiegen.

Die Motivation hinter solchen Angriffen ist offensichtlich: Die Popularität von Open Source und Virtualisierung nimmt zu, was bedeutet, dass immer mehr Server mit Linux oder VMWare ESXi laufen. Diese speichern oft viele wichtige Informationen, die, wenn sie verschlüsselt werden, den Betrieb eines Unternehmens sofort lahmlegen können. Da die Sicherheit von Windows-Systemen traditionell im Mittelpunkt des Interesses steht, erweisen sich Server, die nicht unter Windows laufen, als leichte Beute.

Angriffe 2022–2023

  • Im Februar 2023 wurden viele Besitzer von VMware ESXi-Servern von der Ransomware ESXiArgs Durch Ausnutzung der Sicherheitslücke CVE-2021-21974 wurden virtuelle Maschinen von Angreifern lahmgelegt und Dateien mit den Endungen .vmxf, .vmx, .vmdk, .vmsd und .nvram verschlüsselt.
  • Die berüchtigte Clop-Gang – bekannt für einen groß angelegten Angriff auf verwundbare Dateiübertragungsdienste von Fortra GoAnywhere über CVE-2023-0669 – wurde im Dezember 2022 mit einer (wenn auch eingeschränkten) Linux-Version ihrer Ransomware gesichtet. Diese unterscheidet sich erheblich von ihrem Windows-Pendant (einige Optimierungen und Verteidigungstricks fehlen), ist jedoch an Linux-Berechtigungen und -Benutzertypen angepasst und zielt speziell auf Oracle-Datenbank-Ordner
  • Eine neue Version der BlackBasta-Ransomware wurde speziell für Angriffe auf ESXi-Hypervisoren entwickelt. Das Verschlüsselungskonzept verwendet den ChaCha20-Algorithmus im Multi-Thread-Modus unter Einsatz mehrerer Prozessoren. Da ESXi-Farmen normalerweise aus einer Vielzahl von Prozessoren bestehen, minimiert dieser Algorithmus die für die Verschlüsselung der gesamten Umgebung benötigte Zeit.
  • Kurz vor ihrer Auflösung rüstete sich die Conti-Hackergruppe ebenfalls mit Ransomware aus, die auf ESXi abzielte. Leider wurde ein Großteil des Conti-Codes veröffentlicht, sodass ihre Entwicklungen nun einem breiten Spektrum von Cyberkriminellen zur Verfügung stehen.
  • Die in Rust geschriebene Ransomware BlackCat ist auch in der Lage, virtuelle ESXi-Maschinen zu deaktivieren und löschen. In anderen Punkten unterscheidet sich der Schadcode kaum von seiner Windows-Version.
  • Die plattformübergreifende Ransomware Luna, die wir im Jahr 2022 entdeckten, konnte auf Windows-, Linux- und ESXi-Systemen ausgeführt werden. Selbstverständlich konnte auch die Gruppe LockBit diesen Trend nicht ignorieren: Sie begann ebenfalls, ESXi-Versionen ihrer Malware für Partner anzubieten.
  • Zu den älteren (aber leider effektiven) Angriffen gehörten auch die RansomEXX- und QNAPCrypt-Kampagnen, die vor allem Linux-Server angriffen.

 

Taktiken für Server-Angriffe

Das Einschleusen in Linux-Server basiert in der Regel auf dem Exploit von Schwachstellen. Angreifer können Schwachstellen im Betriebssystem, in Webservern und anderen Basisanwendungen sowie in Geschäftsanwendungen, Datenbanken und Virtualisierungssystemen als Waffen einsetzen. Wie im vergangenen Jahr von Log4Shell demonstriert, erfordern Sicherheitslücken in Open-Source-Komponenten besondere Aufmerksamkeit. Nach einem ersten Eindringen nutzen viele Ransomware-Stämme noch weitere Tricks oder Schwachstellen, um die Berechtigungen zu erweitern und das System zu verschlüsseln.

 

Vorrangige Schutzmaßnahmen für Linux-Server

Um die Wahrscheinlichkeit von Angriffen auf Linux-Server zu minimieren, empfehlen wir:

Tipps