Verschlüsselungs-Trojaner verleibt sich Zimbra-Mails ein

Die Schädling ZimbraCryptor infiziert die Zimbra Collaboration Suite und verschlüsselt alle Daten im E-Mail-Ordner. Dafür muss sich ein Angreifer aber in einen Zimbra-Server hacken.

In Pocket speichern vorlesen Druckansicht
Verschlüsselungs-Trojaner verleibt sich Zimbra-Mails ein

(Bild: CC BY-SA 3.0)

Lesezeit: 1 Min.

Ein neu entdeckter Erpressungs-Trojaner hat es auf Installationen der E-Mail- und Groupwarelösung Zimbra abgesehen. Die Ransomware-Experten von Bleepingcomputer.com haben den Schädling ZimbraCryptor getauft und ihn einer ersten Untersuchung unterzogen.

Nach einer Infektion macht sich der Trojaner über den E-Mail-Ordner der Zimbra-Installation her und verschlüsselt dort alle Daten; an dieser Stelle sind das vorwiegend E-Mails. Chiffrierte Dateien weisen dann die Namenserweiterung .crypto auf, erläutern die Sicherheitsforscher.

Damit Betroffene wieder Zugriff auf ihre Nachrichten bekommen, fordert ZimbraCryptor ein Lösegeld von drei Bitcoins (rund 1700 Euro). Derzeit ist noch nichts über ein kostenloses Entschlüsselungs-Tool bekannt.

Um einen Computer zu infizieren, geht ZimbraCryptor den Kryptologen zufolge einen anderen Weg, als bisher von Erpressungs-Trojanern gewohnt. In der Regel verbreiten sich diese über gefälschte E-Mails inklusive Datei-Anhang. ZimbraCryptor soll nur zuschlagen können, wenn Kriminelle sich Zugang zu einem Zimbra-Server verschaffen, um dort ein Python-Skript auszuführen. Der unbefugte Zugriff auf einen Zimbra-Server kann etwa über eine Sicherheitslücke geschehen; aktuell ist aber nichts über eine Schwachstelle in der Groupwarelösung bekannt.

Die Zimbra-Entwickler sind sich der Übergriffe bewusst. Aufgrund zu weniger Details über Einbrüche in Server, können sie aktuell kein direktes Rezept gegen ZimbraCryptor anbieten. In ihrem Wiki empfehlen sie Zimbra-Nutzern aktuelle Versionen zu installieren und adäquate Firewall-Einstellungen zu setzen. (des)