Server-Verwaltung: Erpressungstrojaner hat es auf HPE iLo abgesehen

Derzeit haben es unbekannte Angreifer auf offen aus dem Internet erreichbare Server abgesehen, auf denen die Management-Software Integrated Lights-out 4 (iLO 4) von HPE zum Einsatz kommt. Stimmen die Voraussetzungen, sollen sie einen Erpressungstrojaner von der Leine lassen, Festplatten verschlüsseln und Lösegeld in Höhe von zwei Bitcoin (rund 14.500 Euro) einfordern. Davor warnt ein Sicherheitsforscher auf Twitter.

Wie die Infektion im Detail abläuft, ist derzeit unbekannt. Die erste Voraussetzung für einen erfolgreichen Angriff ist die, dass der Fernzugriff für das Management-Interface aktiviert sein muss. Wie die Angreifer aber letztlich ins System kommen, um den Schädling zu installieren, ist momentan ungeklärt. Ein Einfallstor könnte eine Sicherheitslücke sein.

Ransomware oder Wiper?

Unklar ist auch, ob der Trojaner Daten wirklich verschlüsselt. Es könnte sich auch um einen Wiper handeln, der Daten einfach löscht und trotzdem Lösegeld fordert. Zahlt ein Opfer in diesem Fall, ändert das nichts daran, dass die Daten unwiederbringlich verloren sind.

Für den Einsatz eines Wipers spricht, dass die Erpresser eine öffentliche Mailadresse in der Erbpresserotschaft nennen und für ihre Opfer offenbar keine einmaligen Ids vergeben. Das ist in der Form für Ransomware untypisch.

HPE iLO 4 absichern

Um seine Server in Sicherheit zu bringen, sollten Admins den Fernzugriff generell deaktivieren. Wer aus der Ferne Zugriff braucht, sollte das über eine VPN-Verbindung machen. Außerdem sollten Nutzer von iLO 4 sicherstellen, dass sie die aktuelle Version installiert haben, sodass etwaige Sicherheitslücken geschlossen sind. Zuletzt sorgte eine kritische Schwachstelle in der Management-Software für Schlagzeilen.

tipps+tricks zum Thema:

• So sichern Sie Windows 10 gegen Erpresser-Trojaner ab
  
• Ransomware: So entfernen Sie Verschlüsselungs-Trojaner
  

(des)