Auch Joomla-Domains betroffen – TeslaCrypt-Malware breitet sich aus

Keine Kommentare
 

Seit einiger Zeit treibt die erpresserische Malware TeslaCrypt auf Webseiten ihr Unwesen, die mit dem Content Management System WordPress aufgesetzt werden. Offenbar weiten die Urheber nun die Verteilerkampagne auf Joomla-Domains aus.


 

TeslaCrypt Ransomware

(Yuri Samoilov / Flickr.com)

Anscheinend haben sich die Drahtzieher hinter den früheren Ransomware-Angriffen mittels TeslaCrypt neue Angriffsziele gesucht. Zu dieser Schlussfolgerung kommt Brad Duncan – Sicherheitsspeziallist bei Rackspace – in einem Blogpost für das “Internet Storm Center”. Er beruft sich darauf, die TeslaCrypt-Kampagne bisher nur in Verbindung mit „admedia“ gesehen zu haben. Laut Duncans Erhebungen scheinen die Angreifer einen Strategiewechsel zu vollziehen, denn im Gegensatz zu früheren WordPress-Attacken stehen nun Joomla-Domains im Fokus.

 Präparierte JavaScript-Datei leitet auf admedia-Gates weiter

Die Vorgehensweisen ähneln sich dennoch stark: Besucher von Webseiten, die auf dem Joomla-CMS basieren, werden mittels speziell gestalteter Skripte zu admedia-Gates geleitet. Auf diese Weise werden den Hackern die benötigten System-Backdoors geöffnet, um bekannte Sicherheitslücken in Windows oder weiteren Installationen des Heimrechners aufzuspüren und den PC anschließend mit der Erpresser-Malware zu infizieren.

Im Gegensatz zu vorherigen Versuchen, in denen eine speziell präparierte JavaScript-Datei auf das Exploit-Kit „Nuclear“ weiterleitete, benutzen die Cyberkriminellen diesmal vorwiegend das Exploit-Kit „Angler“.

Masche „Lösegelderpressung,“ um die verschlüsselten Daten wiederzuerlangen

TeslaCrypt selbst weist nach der erfolgreichen Fremdinstallation die typischen Ransomware-Eigenschaften auf, die Betroffenen den Zugriff auf den eigenen Computer verweigern. Der Computervirus verschlüsselt die eigenen Daten und führt im Anschluss eine html-Datei aus, die den Leidtragenden dazu auffordert, ein Lösegeld auf Bitcoin-Basis zu entrichten.

Die Ransomware greift auf die verhältnismäßig schwer zu umgehende AES-Verschlüsselungsmethode zurück, weshalb die Chancen laut Experten schwindend gering sind, den Angriff ohne die Begleichung des geforderten Betrags erfolgreich abzuwähren. Hat man den angegebenen Geldbetrag allerdings entrichtet, muss das nicht zwangsläufig heißen, dass man wieder Zugriff erlangt. Letzten Endes ist man immer noch den Versprechungen der Betrüger ausgeliefert, dessen sollte man sich bewusst sein.

Über Browser Security

Browser Security ist Ihr Browser-Add-on zum Schutz vor Phishing-Domains und gefährlichen Malware-Angriffen. Vertrauen Sie unserer Live-Protection und der E-Mail-Kontrolle für ein bedenkenloses Surf-Erlebnis und schützen Sie sich effektiv vor Datenklau!

 
Keine Kommentare

Kommentar hinterlassen